Координационный центр Computer Emergency Response Team (CERT) опубликовал отчёт, содержащий статистику выявленных уязвимостей за 2006 год. Сбор статистики группой CERT осуществляется на основе публичных источников и тех отчётов, которые присылают пользователи. Всего выявлено 8064 уязвимости, что на 35% больше, чем в 2005 году.

Другие «сборщики» также зафиксировали существенный рост количества уязвимостей: данные Vulnerability Database, Open-Source Vulnerability Database и Symantec Vulnerability Database говорят о росте на 20-35%.

По мнению Арта Маниона, представителя CERT, причина такого скачка в данных статистики обусловлена, прежде всего, тем, что появилось достаточное количество качественных сервисов и программ, которые облегчили выявление «слабых мест» в ПО. Ощутимый вклад вносят и сообщества пользователей, достаточно активно информирующих о тех или иных проблемах безопасности.

Простой поиск с помощью Google Code Search помогает специалистам и просто опытным пользователям выявлять потенциальные уязвимости. «Большое количество отчётов о возможных уязвимостях специалисты компаний, специализирующихся на вопросах безопасности ПО, получили от пользователей, которые использовали этот поисковый механизм», - говорит Стивен Кристи, редактор CVE Project. В этой связи он также отмечает активное использование grep - утилиты для Unix-систем.

Повышение количества уязвимостей не означает, что интернет стал намного опасней для пользователей по сравнению с 2005 годом. К примеру, многие веб-приложения, в которых были обнаружены уязвимости, создаются и используются относительно небольшими сообществами, а не крупными игроками сетевого рынка. Однако в то же время приложения, написанные на PHP, занимают особо «почётное» место в статистических отчётах: доля этих приложений в списке «незащищенных» составляет 43%. PHP используют не только небольшие сетевые проекты, но и крупные компании вроде Yahoo и Google.

Доля уязвимостей, обнаруженных в операционных системах, за 2006 год снизилась, особенно на фоне доминирования в этом вопросе веб-приложений. Однако это вовсе не означает, что безопасность тех или иных ОС возросла. «Вредоносные приложения по-прежнему пытаются атаковать системы, просто сейчас они реже используют для этого уязвимости ядра ОС», - говорит Оливер Фредрикс, директор по вопросам безопасности компании Symantec.

Источник: fullnews.ru