По данным CVE Details, самой проблемной ОС по числу уязвимостей оказалась Google Android, далеко обогнав по числу багов прошлогоднего «лидера» Apple Mac OS X, многочисленные версии Linux и оставив далеко позади семейство Microsoft Windows.
ОС Android вышла в лидеры «дырявой» статистики
Согласно базе данных сайта CVE Details, отслеживающего и систематизирующего безопасность различных программных продуктов из-за ошибок кода, семейство Microsoft Windows в прошедшем году продемонстрировало наименьший уровень уязвимости среди операционных систем. «пропустив» вперед Apple Mac OS X, многочисленные версии Linux и «лидера» по числу обнаруженных уязвимостей – Google Android.
Согласно данным статистики CVE Details прошлого года, в «лидерах» по числу обнаруженных багов числились Apple Mac OS X (444 уязвимости) и iOS (387). В 2016 году эти операционные системы сместились в рейтинге топ50 наиболее уязвимого ПО на 11 и 15 места с 215 и 161 обнаруженными уязвимостями, соответственно.
Наиболее «дырявая» ОС 2016 года – Google Android, напротив, в 2015 году имела всего лишь 125 замеченных уязвимостей, увеличив, таким образом, печальные показатели более чем в четыре раза всего лишь за один год.
Наиболее часто в прошедшем году у Android обнаруживались уязвимости, связанные с повышением привилегий (39,8%) и отказа в обслуживании (25%). Также важно отметить, что среди 523 обнаруженных ошибок, 254 имели рейтинг уязвимости CVSS (Common Vulnerability Scoring System) на уровне 9 баллов или выше, что на практике означает очень высокую степень опасности таких багов.
В тройку «абсолютных лидеров» 2016 года по числу уязвимостей также вошли Debian Linux и Ubuntu Linux с 319 и 278 обнаруженными багами, соответственно. Четвертое место досталось мультимедийному плееру Adobe Flash Player с 266 багами, хотя в 2015 году он занимал более высокую третью ступеньку с 329 уязвимостями.
Статистика CVE Details 2016 года
И, напротив, наиболее часто «склоняемые» за баги ОС семейства Windows заняли в этом году далеко не «призовые» места». Так, Windows 10 «набрала» 172 бага, Windows 8.1 – 154, Windows 7 и Windows Vista – 134 и 125 обнаруженных уязвимостей, соответственно.
Среди серверных версий наиболее уязвимой (16 строчка рейтинга) оказалась Windows Server 2012 с ее 156 багами, Windows Server 2008 заняла 22 место с 133 уязвимостями.
Статистика CVE Details по браузерам 2016 года также отметила наиболее уязвимым Google Chrome с его 172 багами. За ним со значительным отставанием следует Microsoft Edge (135), далее Mozilla Firefox (133), Microsoft Internet Explorer (129), и в самом низу списка на 44 позиции Apple Safari(56).
Офисный пакет Microsoft Office занял предпоследнюю, 49 строку рейтинга с 48 обнаруженными за 2016 г. уязвимостями.
Статистика CVE Details 2016 года по вендорам
Срез статистики CVE Details топ50 по компаниям вывел в 2016 году на первое место Adobe с суммарным показателем 1383 багов по всем упомянутым в рейтинге продуктам компании (Flash Player, разновидности Acrobat Reader и Acrobat). Второе место досталось Microsoft с ее 1325 багами, на третье место вышла Google (695 ошибок), четвертое и пятое места достались Apple (611) и Red Hat (596).
Специфика методики учета уязвимостей CVE Details
База данных CVE Details учитывает уязвимости ПО в том случае, если они были официально зарегистрированы в базе данных Common Vulnerabilities and Exposures (CVE) корпорации MITRE – негосударственной некоммерческой организацией из США, управляющей федерально финансируемыми исследованиями при поддержке Минобороны, Федеральным управлением гражданской авиации, Департаментом национальной безопасности, Национальным институтом стандартов и технологий.
Независимые аналитики отдельно подчеркивают, что, несмотря на интригующие данные CVE Details, воспринимать их следует в определенном, надлежащем контексте. Назначая какому-либо отдельному программному продукту уникальный показатель уязвимости, CVE предоставляет возможность пользователям убедиться, что в конечном итоге софт получил адекватное обновление и защиту от выявленных уязвимостей.
Однако цифры CVE совершенно не имеют отношения к каким-либо рейтингам безопасности продуктов. Иными словами – по аналогии с медициной, число посещений поликлиники совершенно не означает рейтинг здоровья пациента.
Далеко не все оценки CVE равны по степени опасности уязвимостей. Более того, ряд производителей ПО выпускает обновления продуктов без предоставления им рейтингов CVE.
Комментарии
Ага только под мак антивирусного ПО говна как то не наблюдается
Это наверно для детей писали
да тут всё прекрасно )))
Почему нет? Достаточно внедрение в массы псевдофакта о эквивалентноти корреляции с причинностью и - вуаля! Простой статистикой можно доказать на пальцах буквально всё что угодно.
О да.
Linux *kernel* в категории ОС рядом с *дистрибутивами*?
Это *достаточный* диагноз как минимум для авторов.
Да уж.
Грубо говоря, ядро ОС (фюзеляж ), сравнивают с целыми "самолётами".
Некомпетентность авторов выпирает весьма "эрегированно" )))
Зачем сразу так грубо?
Может это никакая не «некомпетентность», а обычный профессионализм, воплощённый в натягивании некоторого набора исходных данных на заказанный результат.
Ну и о том, что ядра разные бывают, а hardened ≠ vanilla они явно тоже не слышали.
Не говоря о таком трюизме, как
$ eix -c -C sys-kernel *-sources | wc -l
15
Ну, если грубо - я извиняюсь.
А если это профессионализм, " в натягивании данных" - то это уже мошенничество, извините.
И неизвестно, что лучше.
Все версии MacOS в одну, GNU/Linux в одну, причём ещё не факт, что тут только проблемы ядра посчитаны.
Хрень.
Del
.
Уязвимости != вирусы.
Да и людям десятилетиями вдалбливали, что на маке вирусов не бывает, поэтому антивирусы там продавать совершенно бесперспективно.
Не скажите.
Касперский с докторвьебом демонстрируют готовность к миграции вслед за целевой аудиторией.
Их… поделия под GNU/Linux выглядят смищно. Если смотреть со стороны да с безопасного удаления.
Windows это лучшая из бесплатных ОС
Винда - лучшая система для "русских хакеров" ;-))
Винда безопасней Линукс?
Это серьёзно?
А что вас удивляет?
С того времени, когда винда массово позорилась, прошло уже более 10 лет, и MS проделала большую работу.
А Андроид и МакОС с разрастанием сложности этих систем неизбежно получили определённое количество недоделок а с увеличением популярности так же неизбежно получили повышенное внимание хакеров, которые эти недоделки стали эксплуатировать.
PS Не хвалю MS, то, что они делают сейчас, надо было начинать на несколько лет раньше, тогда на рынке планшетов можно было бы увидеть конкуренцию между MS и Apple, а сейчас после нескольких попыток догнать конкурентов мобильное направление фактически слили.
Проблема в неустранимой генетической предрасположенности к ересям.
Альтруисты доказывающие ереси устали. на их место пришли нормальные пацаны ценящие w* за возможности создания ботсетей и прочих схожих бизнесов. Им не надо что-то доказывать, они благодарят ms и apple за то что те живут и дают жить другим. Поэтому с течением времени будет всё меньше открытой информции про провалы копирастов. Это выгодно.
Извините, но я не понимаю слово "ересь" применительно к технике и технологиям.
Только к религии(воспитан в СССР)
Простое, очевидное и потому популярное, но принципиально неверное решение (чего делать нельзя никогда, от слова вообще, но при этом понимание обоснования требует знаний, обычно отсутствующих у начинающего).
Что как не «ересь»? Или у Вас есть лучший термин?
А что непонятного в техноереси? Достаточно посмотреть на периодические срачи линуксоидов с виндоузниками, ибо и те и другие уверовали в истинность своей операционки, и еретическую систему готовы порвать вместе с пользователями-еретиками. Правда, линуксоиды этим больше страдают.
Не смешите. 10 лет серьезной работы - в итоге система без антивируса долго не живет. Как и 10 лет назад...
Не работайте под учёткой с административными правами и будет жить долго, даже без антивируса. Если конечно ваша работа не связана с постоянным поиском в сети сомнительного качества программ и игр, но в таком режиме и линукс можно убить.
Именно так
Спасибо за напоминание об одной старой, но досейчас полезной статье ☺
Из личного печального. Декабрь 2016 год. Стоит свежий обновлённый антивирус (Nod32 v9).
Windows 10 со всеми обновлениями. Office 2016 со всеми обновлениями.
Учётка пользователя без админских прав.
Приходит через gmail файлик "счёт ростелеком.zip" - замдиру. Он пересылает письмо исполнителю.
Тот открывает файлик через аутлук 2016. Он нигде не лазиет. Игрушки не запускает и не ищет. Ему пришёл файлик он начальства с требованием "в работу". Внутри архива - schet.xls.js на 2 кб.
Запускает - добрый аутлук распаковывает .js в папку темп и выполняет через cscript (действие по-умолчанию в системе для таких файлов). .js скачивает тело .exe по http в папку temp и запускает.
Антивирус беспомощно сканирует тело - и пропускает. Тело расшифровывает в памяти своего процесса вредоносный модуль "долгим" дешифратором (секунд 30 требуется на его мегабайт - чтобы гарантировать беспомощность антивируса - какой пользователь согласится, что антивирус будет по пол-минуты свою "эвристику" отрабатывать), и вуаля - троян-шифровальщик прибивает все файлы пользователя. А это его комп. Там его фотки семейные, рабочие документы. Естественно они все доступны ему как пользователю на запись. И ничего кроме этого на его компе полезного и не было. "Админ не нужен".
Вредонос .js на "день 0" даёт 2/56 на вирустотале - гугловский антивирус его пропускает. Тело .exe 6/56 - nod не включил его ещё в базы (да и толку - у пускателя задача простая и может реализоваться 1000 способами - а зашифрованное тело вредоноса сигнатур не имеет - и "быстро" расшифровать его нельзя).
И какие возможны варианты защиты кроме "3B": backup-backup-backup.
Софта на 35 тысяч рублей у простого "офисного" работника - и только иллюзия защищённости.
Да, можно воткнуть Линукс. Тоже не панацея (кроме 3B) - лишь слегка усложняет векторы атаки. Да и как его простым юзерам донести - когда лицензии все куплены..
(PS: он это "счёт" ещё нескольким "продвинутым" послал - с шуткой "не открывается - видимо вирус какой-то").
Мутный виндузовый пропагандистский бред. Из того, что в Линуксе находят много ЧИСТО ГИПОТЕТИЧЕСКИХ УЯЗВИМОСТЕЙ, путем бесконечного жесткого аудита ИСХОДНОГО КОДА, а в винде находят мало, так как только ФАКТИЧЕСКИ ИСПОЛЬЗУЕМЫЕ ДЫРЫ становятся достоянием гласности - в исходниках никто не копается - никак не следует, что фактическая уязвимость Линукса выше.
Да это и очевидно - уязвимостей в Линуксе выявляется больше, а БОТНЕТЫ РАБОТАЮТ под Виндами.
Во-вторых - разновидностей Линукса десятки (если не сотни), а виндоуз - фактически 2-3 - ТОЖДЕСТВЕННЫХ - понятно, что любым вирусам на такой МОНОКУЛЬТУРЕ намного легче плодиться, чем на весьма разнородном Линуксовом субстрате.
В отношении Линукса до сих пор никаких случаев фактического МАССОВОГО заражения не выявлено.
Я понимаю, что умственно ограниченным любителям виндоуз все это сложно понять, пишу не для них :-)
p.s. Сам сижу на Fedora - а она даже в этом рейтинге в самом низу... Да, Ubuntu в плане безопасности не лучшее решение, с этим можно согласиться.
Выявлено, только не уязвимостей, а admin:admin ;-)
баш (с)
Либо не терять время, а найти кулхацкера с admin:admin на роутере. ;-)
Есть такие роутеры которые хватают трояна с любым паролем и подменяют DNS.
Во-первых, спасибо профессионалам (искал я как-то в роутере очевиднейшую и практически достаточную опцию запрета доступа к административной консоли по воздуху);
И во-вторых, дежурное: как оно отразится на мне (с привычкой использования расово-правильного DNS-сервера с IP-адресом 127.0.0.1)? ☺
Есть Sagemcom от Ростелекома в которых выключен вайфай, у которого сложный пароль, но DNS все равно меняется на вирусный даже если заходить на сайт с загрузочного cd убунту. И фиг знает что с ним делать.
Сложность пароля не панацея от уязвимостей протокола.
Как настраивается соединение (к вопросу об издержках ИИ и ресурсоёмкости адекватной настройки динамических конфигураций)?
На какой сайт заходить (с загрузочного CD Ubuntu)?
Ботнеты на роутерах и IP камерах вполне себе бывают.
Дыры в популярных CMS - бывают, то есть стать членом ботнета может и серверный вариант никсов а не только пользовательская железка.
Дыры в критических для безопасности компонентах, которые "бесконечно жёсткий аудит" не находил в течение многих лет - бывают.
Наконец капс в интернет беседе - аналог крика, а прежде чем кричать про неуязвимость никсов вы бы хоть про Heartbleed прочитали.
Много хорошего и под linux "In The Wild": HeartBleed (openssl), ShellShock (bash), DirtyCow (kernel).
Очень вкусные уязвимости. Некоторые уязвимости - ровесники андроида :)
Уязвимости железок, проданных миллионами штук, активно эксплуатирующимися ботсетями на ядре linux - источники недавних атак ddos с невиданным доселе трафиком.
Да и червей хватает. Начиная с первого "Червя Моррисона".
Уязвимости апача - червь Slapper (правда, чуть позже чем аналогичный codered под IIS).
Куча червей и спамботов на уязвимых cms движках. Спасибо ПХП за наше счастливое детство.
В прошлом году видел поломанный сервер через дырявый proftpd.
Всё дело в популяризации :)
Вот да, про червь Морриса забыл написать, правда уязвимые к нему компьютеры работали не под святым опенсорсом а под мерзкими копирастическими проприетарными ОС, но всё равно должно заставить задуматься о том, что между UNIX-подобными ОС и неуязвимостью к сетевым атакам нет знака равенства.
Дело на в «святости» СПО, хотя ход мыслей верный ☺
Так случилось, давно перевёл офис (95%) на Linux (Debian, CentOS, OpenSUSE), распределённый по стране + Монголия, в командировках давно не был(тьфу-тьфу-тьфу) так же давно не был гнобим прецедентами vulnerability :)))
В отношении Линукса до сих пор никаких случаев фактического МАССОВОГО заражения не выявлено.
А недавняя DDOS-атака на DNS, которую проводили с ломаных камер, не через дырки в линуксовой прошивке выполнялись?
Самая главная проблема — это невнимательные пользователи. У меня на ПК уже давно нет антивируса, современные браузеры (= актуальная версия) безопасны вкупе с нужными расширениями. Нет антивируса — повышается отзывчивость системы в целом, нет лишнего насилования HDD / SSD. Я уже писал, что https://aftershock.news/?q=comment/3451507#comment-3451507 — является одной из ступеней безопасного сёрфинга. Этого телодвижения (= uBlock Origin + подписки) достаточно, чтобы обеспечить себя безопасностью на 95%. Все нужные ссылки в закладках (= проверенный контент), а качать из надёжных годами сайтов. Остальные телодвижения озвучивать не буду — продвинутые это и так знают.
Спасибо Вам за ваше участие в ботсетях. Без Вас было бы так скучно.
Самая главная проблема это люди путающие универсальные программы с ОС. То есть лохи. Их и вправду 95%. Самая благословенная часть человечества по мнению копирастов.
С ума сошел? (про ботсети). Был бы умным — так бы не писал.
Ты в курсе, что в крайних драйверах Nvidia включена телеметрия, которая нужна для рекламы?
:-) брудершавщикам не подаю. Даже своей последней фразой вы умудрились чудно продемонстрировать свою вопиющую некомпетентность. Сумасшедшие бывают умными. 8-D '-)
Нет, не в курсе, и даже не догадывался. Вполне возможно. Копирасты посчитали что надо, значит надо.
Поэтому и не подаёшь, когда озвучиваемое мнение другого человека ломает собственные стереотипы.
На, наслаждайся, https://3dnews.ru/942257
:-D ломай меня полностью!(ц) 8-D
Нет правда, можно я не буду ходить по ссылке?
Ещё раз. Если у Вас стоит универсальная программа windows __любой версии__ то вы участник бот-сетей (либо прямо сейчас, либо чуть попозже). Вне зависимости от видеокарты. Просто в зависимости от тырнетов.
Так можно сказать про любой продукт.
Не знаю, у меня - каюсь - на одном ноуте осталась партиция с Windows - я так всегда ругал Windows, дай, думаю, сам попробую как оно там. Подписался на антивирус, денег даже за год заплатил.
Опыт ужасный - каждый раз при перезагрузке долгие страдания - то идут автоматические обновления, то антивирус по полчаса сканирует.
Когда прошел год подписки на антивирус и мне предложили заплатить в разы больше, чем за первый год я без сомнения отказался.
Снес антивирус, отключил обновления, загрузился с флешки Dr.Web и просканировал на вирусы. Все чисто.
В таком режиме и живу теперь - загружаюсь каждый квартал - и проверяю.
Ну и главный секрет безопасности - как можно реже загружать компьютер в Windows :-) Гружусь по двум причинам - либо игрушку поиграть какую-то, либо видео-редактором поработать. Других причин нет - все остальное для Windows нормально работает из-под виртуалки в Linux-e.
Чёзабред? Зачем байка про игры в дуалбуте ходит уже второй десяток лет? Я лично играю в wine чего и вам желаю.
И не партиция, а раздел.
я в видеоредакторе под линухом нормально всё сделал...
Страницы