Výrobce nejzranitelnějšího software? Microsoft to není!
Pokud jste si mysleli, že nejhůře je na tom Microsoft, výsledky databáze Common Vulnerabilities and Exposures (CVE) říkají něco jiného, byť tato pověst firmy v povědomí lidí stále přetrvává. Tato databáze funguje již od roku 1999 a je dnes v podstatě již průmyslovým standardem pro sběr informací o nových zranitelnostech a bezpečnostních děrách v systémech výrobců software.
Microsoft vedl žebříček výrobce nejděravějšího software až do roku 2010. V roce 2011 nastal zlom a pomyslné žezlo přebral Google, po něm v roce 2012 Oracle, který vede s přestávkou v roce 2015 (kdy jej překonal Apple) až do dneška. Oracle za to vděčí především děravé platformě Java.
A jak tedy vypadal žebříček za rok 2016? (v závorce je celkový počet incidentů)
1 Oracle (793)
2 Google (698)
3 Adobe (548)
4 Microsoft (492)
5 Novell (394)
6 IBM (382)
7 Cisco (353)
8 Apple (324)
9 Debian (320)
10 Canonical (280)
Možná vás pak překvapí i žebříček operačních systémů dle počtu objevených chyb v roce 2016, ten vypadá následovně:
1 Android (523)
2 Debian Linux (319)
3 Ubuntu Linux (278)
4 Leap (259)
5 Opensuse (228)
6 Linux Kernel (217)
7 Mac Os X (215)
8 Windows 10 (172)
9 Iphone Os (161)
10 Windows Server 2012 (156)
V přehledu “nejnebezpečnějších” aplikací pak kralují produkty firmy Adobe:
1 Flash Player (266)
2 Acrobat Reader Dc (227)
3 Acrobat Dc (227)
4 Acrobat (224)
5 Reader (204)
6 Chrome (172)
7 Edge (135)
8 Firefox (133)
9 Internet Explorer (129)
10 PHP (107)
A tak by se dalo v přehledu průšvihů pokračovat ve spoustě dalších přehledů. Pokud vás problematika zajímá, můžete si data z této veřejně dostupné databáze stáhnout a vyzkoušet si sestavit vlastní žebříčky, případně se můžete podívat na analýzu těchto dat zde: http://www.cvedetails.com/
A POUČENÍ?
To, že se chyba objeví v této databázi, je vlastně dobře. Víme, že se o problém někdo začal zajímat a nyní už jen záleží na výrobcích software, jak rychle na objevené chyby zareagují. V případě operačních systémů se chyby dnes opravují v řádech dnů/týdnů (až na výjimky) a aktualizují se systémem automatických aktualizací, tak aby se minimalizovala možnost útoku tzv. Zero day exploit .
Horší je ale situace mimo operační systémy, zde se chyby opravují v řádek měsíců a distribuce oprav je problematická. Lze situaci řešit tím, že za problematický software najdeme náhradu od odpovědnějšího výrobce, případně zkusíme udržovat software v nejnovějších verzích. Zajímavý článek k tomuto tématu je na stránkách 365tipů