Nul dag, sårbarheder i webbrowser stiger i 2014

Antallet af nul-dages og webbrowser sårbarheder skudt op i 2014, men de samlede softwareleverandører lapper hurtigere.

Dataene kommer fra Secunia, en dansk sikkerhedsleverandør, der frigiver en årlig undersøgelse af tendenser inden for softwaresårbarheder, som bruges af hackere til at kompromittere computere.

Nul-dages sårbarheder - som er softwarefejl, der aktivt bruges af angribere, når de offentliggøres offentligt - steg fra 14 i 2013 til 25 sidste år. Denne type fejl er blandt de farligste og værdsatte af angribere, da der ikke findes patches fra leverandører.

Mangler i webbrowsersoftware steg til 1.035 i 2014, op fra 728 året før, ifølge Secunias rapport.

Men den gode nyhed er, at leverandører bevæger sig hurtigere for at løse mangler. Secunia fandt, at mere end 83 procent af 15.435 sårbarheder, der blev fundet i 3.870 applikationer, havde en patch tilgængelig, når en offentlighed blev afsløret offentligt.

Det er sammenlignet med 78,5 procent i 2013 og meget bedre end i 2009, hvor kun 49,9 procent af produkterne havde en klar patch.

”Den mest sandsynlige forklaring er, at forskere fortsætter med at koordinere deres sårbarhedsrapporter med leverandører og deres sårbarhedsprogrammer, hvilket resulterer i øjeblikkelig tilgængelighed af programrettelser i de fleste tilfælde,” ifølge rapporten.

Men Secunia fandt, at hvis en patch ikke var klar den dag, hvor en fejl blev afsløret, er det sandsynligt, at leverandører ikke ville prioritere en løsning. Procentdelen af ​​produkter, der havde en plaster klar en måned efter, at der blev afsløret en fejl, steg kun til 84,3 procent.

Secunia kiggede også på PDF-software, der ofte målrettes af hackere, da næsten hver computer har det installeret.

Adobe Systems 'PDF-applikationer er blandt de mest angrebne på internettet på grund af deres udbredelse. Secunia sagde, at Adobes Reader-program, der har en markedsandel på 85 procent, havde 43 sårbarheder sidste år.

I de senere år har Adobe gennemført et aggressivt program til at scanne sin applikationskode for sikkerhedsproblemer og generere programrettelser hurtigt, når der findes problemer.

Secunia fandt, at 32 procent af computere, det undersøgte med data fra sin personlige softwareinspektør, der kontrollerer versionstallet af programmer, ikke havde en ajourført version af Adobes Reader, hvilket sætter brugerne i fare.

Virksomheden kiggede også på sårbarheder i open source-software, et stigende sikkerhedsproblem, efter at der blev fundet flere alvorlige sårbarheder i OpenSSL-kryptografiske software.

Den første alvorlige OpenSSL-sårbarhed, kaldet Heartbleed, fangede mange af vagten på grund af dens potentielle indvirkning og det store udbud af programmer, der bruger det. Secunia troede, at leverandører muligvis var hurtigere til at lappe OpenSSL, efter at der blev fundet efterfølgende problemer sidste år.

Det var dog ikke tilfældet. Mange leverandører lappede ikke hurtigere til andre OpenSSL-mangler, der blev post-Heartbleed, siger rapporten.

"Organisationer bør ikke antage at være i stand til at forudsige, hvilke leverandører der er pålidelige og hurtige til at reagere, når der opdages sårbarheder i produkter, der er bundet med open source-biblioteker," siger Secunia.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.