Уязвимости бьют рекорды

Компания Risk Based Security (RBS) опубликовала отчет за 2017 год. Из документа следует, что минувший год стал рекордным по числу выявленных уязвимостей: их было обнаружено 20 832. Рост по сравнению с 2016 годом составил сразу 31% – также рекордный показатель. При этом 7900 уязвимостей оказались не включены в официальные базы данных Common Vulnerabilities and Exposures (CVE) и National Vulnerability Database (NVD), составляемые американскими правительственными и независимыми организациями. На информацию этих источников ориентируются многие разработчики защитного ПО, и отсутствие данных о той или иной уязвимости означает, что она вполне может не идентифицироваться сканерами. Компания RBS поддерживает собственную базу данных уязвимостей – VulnDB, и, по словам ее представителей, в эту базу входит уже свыше 57 тысяч проблем, не включенных в базы CVE и NVD.

Говоря об обнаруженных в прошлом году уязвимостях, следует отметить, что 39,3% из них были оценены как опасные либо чрезвычайно опасные (7 баллов и выше по шкале CVSSv2). Для 24,1% всех уязвимостей прошлого года до сих пор не выпущены ликвидирующие их обновления. Лидером по числу выявленных особо опасных уязвимостей (с оценками 9 и 10) стала корпорация Google, в продуктах которой было обнаружено 503 таких уязвимости. Далее следуют компании SUSE, Canonical, Red Hat, SGP Technologies, Adobe Systems, Mozilla, Samsung, Oracle и Xerox. 39,5% всех обнаруженных уязвимостей могут быть проэксплуатированы хакерами – либо в открытом доступе есть достаточная информация, чтобы создать рабочие эксплойты, либо эти эксплойты уже существуют.