Irdatlanul sok a hiba a szoftverekben

Tavaly a szoftveres sérülékenységek száma minden korábbi rekordot megdöntött. Több mint 20 ezer biztonsági rés került nyilvánosságra.
 

A VulnDB QuickView jelentés számos érdekes információt tartalmaz a sebezhetőségekkel kapcsolatos trendekről. Sajnos ezek korántsem festenek jó képet a biztonsági állapotokról, de egyúttal felhívják a figyelmet a patch management kritikus szerepére.
 
A Risk Based Security biztonsági szakértői 2017-ben 20832 biztonsági hibáról szereztek tudomást. Ez 31 százalékos növekedést jelent a megelőző évhez képest. Ugyanakkor nem kizárólag a sérülékenységek egyre növekvő számával van probléma, hanem a feltárt biztonsági rések veszélyességével is. A tavaly napvilágra került sebezhetőségek 39,3 százaléka ugyanis 7-nél magasabb veszélyességi besorolást kapott a CVSSv2 skálán. Ráadásul 48,5 százalékuk távolról is kihasználható volt. Szintén aggasztó tény, hogy a sérülékenységek 31,5 százalékához nyilvánosan is elérhetővé váltak a kihasználásukhoz szükséges exploit kódok, illetve leírások.
 
A 2017-es biztonsági hibák fele webes alkalmazásokat, szolgáltatásokat érintő sérülékenység volt. A leggyakoribb problémának az XSS (Cross-Site Scripting) típusú támadásokra lehetőséget adó sebezhetőségek számítottak.
 
A biztonsági szakértők összeállították azon vállalatok toplistáját, amelyek a legtöbb 9-10-es veszélyességű sebezhetőséget orvosolták. A lista élén a Google végzett, amely tavaly több mint félezer kritikus biztonsági rést foltozott be. A második a SUSE, míg a harmadik a Canonical lett. A rangsor azonban némileg módosul, ha nemcsak a kritikus hibákra koncentrálunk:  
Ugyancsak érdekes kimutatás az is, hogy mely termékeket, alkalmazásokat sújtotta a legtöbb nyilvánosságra került sérülékenység:  
A biztonsági jelentés kiemeli, hogy a manapság oly sokszor emlegetett hibavadás programoknak köszönhetően az összes sérülékenység 5,9 százalékát sikerült kimutatni és kezelni. Sajnos azonban a tavalyi sebezhetőségek 23,2 százalékához még jelenleg sincs hibajavítás, vagyis ezek esetében további kockázatcsökkentő lépéseket kell tenniük az üzemeltetőknek, felhasználóknak.