TOP

KYBEZ

Výrobce nejzranitelnějšího software? Microsoft to není!

Pokud jste si mysleli, že nejhůře je na tom Microsoft, výsledky databáze Common Vulnerabilities and Exposures (CVE) říkají něco jiného, byť tato pověst firmy v povědomí lidí stále přetrvává. Tato databáze funguje již od roku 1999 a je dnes v podstatě již průmyslovým standardem pro sběr informací o nových zranitelnostech a bezpečnostních děrách v systémech výrobců software.

Microsoft vedl žebříček výrobce nejděravějšího software až do roku 2010. V roce 2011 nastal zlom a pomyslné žezlo přebral Google, po něm v roce 2012 Oracle, který vede s přestávkou v roce 2015 (kdy jej překonal Apple) až do dneška. Oracle za to vděčí především děravé platformě Java.

A jak tedy vypadal žebříček za rok 2016? (v závorce je celkový počet incidentů)

1    Oracle (793)
2    Google (698)
3    Adobe (548)

4    Microsoft (492)
5    Novell (394)
6    IBM (382)
7    Cisco (353)
8    Apple (324)
9    Debian (320)
10  Canonical (280)

Možná vás pak překvapí i žebříček operačních systémů dle počtu objevených chyb v roce 2016, ten vypadá následovně:

1    Android (523)
2    Debian Linux (319)
3    Ubuntu Linux (278)

4    Leap (259)
5    Opensuse (228)
6    Linux Kernel (217)
7    Mac Os X (215)
8    Windows 10 (172)
9    Iphone Os (161)
10  Windows Server 2012 (156)

V přehledu “nejnebezpečnějších” aplikací pak kralují produkty firmy Adobe:

1    Flash Player (266)
2    Acrobat Reader Dc (227)
3    Acrobat Dc (227)

4    Acrobat (224)
5    Reader (204)
6    Chrome (172)
7    Edge (135)
8    Firefox (133)
9    Internet Explorer (129)
10    PHP (107)

A tak by se dalo v přehledu průšvihů pokračovat ve spoustě dalších přehledů. Pokud vás problematika zajímá, můžete si data z této veřejně dostupné databáze stáhnout a vyzkoušet si sestavit vlastní žebříčky, případně se můžete podívat na analýzu těchto dat zde: http://www.cvedetails.com/ 

A POUČENÍ?

To, že se chyba objeví v této databázi, je vlastně dobře. Víme, že se o problém někdo začal zajímat a nyní už jen záleží na výrobcích software, jak rychle na objevené chyby zareagují. V případě operačních systémů se chyby dnes opravují v řádech dnů/týdnů (až na výjimky) a aktualizují se systémem automatických aktualizací, tak aby se minimalizovala možnost útoku tzv. Zero day exploit . 

Horší je ale situace mimo operační systémy, zde se chyby opravují v řádek měsíců a distribuce oprav je problematická. Lze situaci řešit tím, že za problematický software najdeme náhradu od odpovědnějšího výrobce, případně zkusíme udržovat software v nejnovějších verzích. Zajímavý článek k tomuto tématu je na stránkách 365tipů