В 2017 году было обнаружено рекордное количество уязвимостей. В общей сложности за минувший год эксперты по безопасности опубликовали информацию о 20 832 проблемах, следует из отчета компании Risk Based Security.
Согласно докладу, в 2017 году число раскрытых уязвимостей увеличилось на 31,0% по сравнению с предыдущим годом. При этом, 39,3% проблем получили оценки от 7,0 и выше по шкале CVSSv2. Из них 48,5% могут быть проэксплуатированы удаленно, а для 31,5% уязвимостей существуют рабочие эксплоиты. С web-сайтами связана половина (50,6%) уязвимостей, из которых 28,9% — проблемы межсайтового скриптинга (XSS).
В топ-десять поставщиков, в чьих продуктах были обнаружены уязвимости с оценкой от 9,0 до 10,0 по шкале CVSS, вошли Google (503 проблемы), SUSE (301), Canonical (285), Red Hat (274), SGP (257), Adobe (256), Mozilla (246), Samsung (228), Oracle (201) и Xerox (198).
В первую десятку продуктов с наиболее опасными уязвимостями вошли устройства Google Pixel/Nexus (354 уязвимости), Ubuntu (285), SilentOS (257), Red Had Enterprise Linux (253), Firefox (246), SUSE Linux Enterprise Desktop (226), мобильные устройства от Samsung (226), SUSE Linux Enterprise Server (197), OpenSUSE Leap (196) и FreeFlow Print Server (191).
Как следует из отчета, в минувшем году по меньшей мере 44,8% (9,335) публикаций об уязвимостях были согласованы с поставщиком и только 18,6% (3,875) из них были несогласованными. 5,9% проблем были раскрыты в рамках программ выплаты вознаграждения за поиск уязвимостей.
Хотя для большинства уязвимостей, обнаруженных в прошлом году (72,8%) были выпущены обновления или патчи в том или ином виде, 23,2% проблем в настоящее время остаются неисправленными.
В отчете также сказано, что лишь 1,7% от общего количества уязвимостей были обнаружены в продуктах SCADA, по сравнению с 2,8% в 2016 году. 52,2% уязвимостей в SCADA были дистанционно эксплуатируемыми, 73,5% оказали влияние на целостность продукта и 61,3% были связаны с неправильной проверкой входящих данных.
Источник: securitylab.ru
