Microsoft: За уязвимости должны краснеть конкуренты

Корпорация Microsoft, выпустившая в рамках последнего обновления безопасности рекордное для себя количество «заплаток», стремится поломать стереотип «дырявости» своих продуктов. Общедоступная статистика по числу уязвимостей в продуктах конкурентов говорит не в их пользу, отмечают в российском представительстве софтверного гиганта.

13 октября Microsoft выпустила 13 обновлений безопасности для своих продуктов – рекордное количество в масштабах одного месяца. Обновления закрывают 34 уязвимости во всех версиях Windows (включая новую Windows 7, еще официально не поступившую в продажу), а также в Internet Explorer (IE), Office, SQL Server и других продуктах корпорации. 34 «заплатки» - также рекордное число для Microsoft, 6 лет назад (в октябре 2003 г.) перешедшей на график ежемесячного выпуска обновлений безопасности. Предыдущий рекорд – 28 «заплаток» за месяц – был поставлен в декабре 2008 г.

8 из 13 обновлений, закрывающих 21 «дыру», Microsoft определила как «критические». Остальные 5 бюллетеней имеют статус «важных», как и 9 описываемых в них уязвимостей. Оставшиеся 4 «дыры» представляют «умеренный» уровень опасности. Для нескольких уязвимостей на момент выпуска «заплаток» уже были написаны эксплойты.

Выпущенные Microsoft патчи закрывают три уязвимости в поставляемом вместе с Windows SMB 2 (Server Message Block), сетевом протоколе распределенной файловой системы, разработанном корпорацией и поддерживаемом многими другими ИТ-вендорами. Еще две «дыры» связаны с реализацией протокола FTP в более ранних версиях веб-сервера IIS (Internet Information Services); две в кодеке Windows Media Runtime. Об уязвимостях в SMB 2 и IIS было известно с начала сентября. О «дыре» в SMB 2 Microsoft публично заявила в начале октября. Несмотря на появление эксплойта, использующего эту уязвимость, случаев атак с его помощью пока не зафиксировано. Уязвимость присутствует в Windows Vista, Windows Server 2008 и предварительных версиях Windows 7, но не в ее финальной версии, которая официально поступит в продажу 22 октября. О «дыре» в FTP, в свою очередь, было заявлено еще 1 сентября. Эксплойт к ней появился в последние дни августа.

За 10 месяцев 2009 г. Microsoft обнаружила около 160 уязвимостей в своих продуктах, в то время как за весь 2008 г. – свыше 155. В совокупности это вдвое больше, чем за 2004 и 2005 гг., первые полные два года ежемесячных обновлений безопасности. Всего же за последние 6 лет Microsoft, если судить по архиву бюллетеней, выпустила около 400 обновлений безопасности, где описаны около 745 уязвимостей, затрагивающих почти все продукты корпорации. Около 230 бюллетеней – свыше половины – касаются критических уязвимостей, позволяющих удаленно устанавливать полный контроль над системой.

«Для установки такого
нового рекорда у компании Microsoft есть две основные причины: это рост
киберкриминальной активности и рост количества написанного кода», - считает Сергей Голованов, ведущий вирусный
аналитик «Лаборатории Касперского». Говоря о влиянии роста киберприступности на
увеличение числа исправлений в коде разработчиков, он приводит такой пример: две
из восьми критических уязвимостей, исправленных в текущем обновлении Microsoft, были обнаружены
сторонними лицами и опубликованы на различных сайтах, которые регулярно
посещаются злоумышленниками для поиска новых способов проведения своих атак. В
предыдущем месяце таких публикаций вообще не было, а всего за этот год их было
три.

Владимир Мамыкин, директор по информационной безопасности Microsoft в России, в свою очередь, считает, что всего 160 брешей на все продукты в 2009 г. – это «крохи по сравнению с горами уязвимостей у конкурентов, заслуга Microsoft, результат хорошей работы по улучшению безопасности». «Неискушенный читатель подумает – много, - продолжает Мамыкин. - А знает ли он, сколько уязвимостей, например, у Mac OS X? Целых 1038! И за 2009 г. (если точно, то с 18.12.2008 г. по 15.10.2009 г.) их число увеличилось на целых 226. И это только в одном продукте. А что же в Microsoft Vista? В ней за всю историю было найдено 140 уязвимостей,  из них за 2009 г. – 60».

При этом, по словам Владимира Мамыкина, Red Hat Enterprise Linux Desktop v5 имеет на сегодня 970 уязвимостей, в 2009 г. он увеличил их число на 367 и почти догнал в лидерстве за самый «дырявый» продукт Mac OS X. Что же касается Ubuntu, то в версии 8.4, выпущенной в апреле 2008 г., на сегодня обнаружено 616 «дыр» , а за 2009 г. – 403.

«Может, с серверами у Microsoft плохо? – спрашивает Мамыкин. - Посмотрим – у Windows Server 2008 на сегодня было найдено 109 уязвимостей, за 2009 г. их число возросло на 67. А у известной Sun Solaris 10 на сегодня 817 «дыр», в 2009 г. их стало больше на 231. Про Red Hat Linux Server v5 говорить не буду – он еще хуже Solaris 10, сами посмотрите на secunia.com – я все данные беру именно оттуда».

Владимир Мамыкин привел статистику и по «дырам» в базах данных. Так, у Microsoft SQL Server 2005 на сегодня 18 уязвимостей, их число выросло за 2009 г. на 8 штук. При этом у Oracle Database 11.x их общее число в 12 раз больше – 223 бреши, и в 2009 г. их добавилось 107. «7 лет назад мне, как директору по информационной безопасности Microsoft, приходилось краснеть за число обнаруженных у нас тогда уязвимостей, - резюмирует он. - Теперь краснеют наши конкуренты. Времена изменились».

То, что времена меняются, - в разных аспектах - подтверждают и другие вендоры. В частности, за последние годы возросла скорость написания эксплойтов, использующих «дыры» в продуктах. Так, по данным исследования Qualys, выпущенного весной этого года, 80% всех эксплойтов появлялись не позже чем через 10 дней после обнаружения уязвимости. При этом, к примеру, в апреле 2009 г. примерно для 50% всех закрытых Microsoft «дыр» на момент выпуска обновления уже существовали эксплойты.

«В последние 2-3 года время написания эксплойтов сократилось, а количество кибератак растет практически в геометрической прогрессии, - подтверждает Максим Коробцев, технический директор Agnitum. - Поэтому ориентированность на устранение критических «дыр» и смена акцентов в продуктовой политике Microsoft, явно прослеживающиеся в последние годы, говорят о стремлении компании давать быстрый ответ на результаты «публичных тестирований» их продуктов». По словам Коробцева, в острой конкурентной борьбе Windows- и Unix-платформ безопасность системы становится одним из решающих аргументов «за». «Архитектура решений Microsoft по-прежнему по умолчанию проигрывает в безопасности Unix-based решениям, так что основная задача Microsoft в данном контексте - сбалансировать скорость устранения имеющихся недостатков в зависимости от их критичности», - полагает он.

«Время между нахождением «дыры», появлением эксплойта и выпуском заплатки у Microsoft, в среднем, сократилось, особенно после пары нашумевших эпидемий червяков, - отмечает Илья Рабинович, исполнительный директор SoftSphere. – То же самое могу сказать про Adobe и Oracle». В то же время, не стоит связывать увеличение числа уязвимостей с ростом киберпреступности, полагает он. «Чем продукт популярнее, тем больше заинтересованные люди ищут в нём «дыр». Вопрос в том, что квалифицированных людей, которые могут делать эту работу, очень немного, и рост киберпреступности, фактически, никак на эту цифру не влияет», - говорит Рабинович.

Аналогичного мнения придерживается Алексей Гребенюк,
независимый вирусный аналитик, ранее директор Центра технической
поддержки «Доктор Веб». «Количество обнаруженных уязвимостей связано
только с качеством разработок и работы специализированных лабораторий
по поиску этих уязвимостей, а вот сокращение времени реакции - с ростом
киберпреступности, - говорит он. - Это попытка вендора защитить
клиента, что является, безусловно, правильным». Гребенюк отмечает, что,
по его наблюдениям, время реакции вендоров за последние 1,5 года явно
имеет тенденцию к уменьшению. 

Сергей Голованов из «ЛК»,
напротив, отмечает, что, в общем и целом, время реакции разработчиков на
публикации уязвимостей значительно не сокращается. «Применительно к Microsoft, оно так и остаётся
около полутора месяцев, - говорит он. - Что касается других вендоров, то там
ситуация зависит от компании, её опыта работы с подобными проблемами, позиций
на рынке, плюс выстроенных процессов на реакцию о публикации уязвимостей».


Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лицензионный дизайн: софт Adobe снова можно скачать в России

Компания Adobe открыла российским пользователям доступ к скачиванию своего ПО, в том числе Photoshop и Premiere. Эта опция была заблокирована в марте прошлого года. Покупка новых лицензий по-прежнему невозможна, а продлить действующую могут только корпоративные клиенты.

Российские пользователи могут переустановить Adobe, обратили внимание “Известия”. На страницу софта официального сайта корпорации снова можно зайти с российских IP-адресов. Вкладка была недоступна с марта, когда компания объявила об уходе и запретила продажи своей продукции на территории России.

Теперь снова можно скачать любое программное обеспечение из коллекции приложений Adobe Creative Cloud как для Windows, так и для macOS.

Речь не идет о том, что после скачивания новый пользователь сможет оформить лицензию на программы — эта функция по-прежнему заблокирована.

Послабление со стороны Adobe поможет только тем российским пользователям, кому по каким-то причинам необходимо переустановить ранее приобретенную программу. А новые клиенты после скачивания смогут воспользоваться лишь пробной бесплатной версией продукта на месяц.

Среди причин “отката назад” эксперты “Известий” называют коммерческие обязательства перед зарубежными офисами компаний, которые еще работают в России, а также опасения конкуренции со стороны российских разработчиков.

“Столкнувшись с такой реальностью, компании вынуждены “тихо” открывать доступ к своей продукции, — считает глава комитета по интеграции российского ПО Ассоциации разработчиков программных продуктов “Отечественный софт” Иван Панченко. Миграция с одного ПО на другое, особенно в корпоративном сегменте, — сложный и затратный процесс. Поэтому, потеряв клиентов сейчас, зарубежные компании значительно снижают возможность вернуть их в будущем, говорит Панченко.

В то же время Adobe сохраняет все ограничения на приобретение лицензий российскими пользователями. В компании Softline подтвердили, что покупка новых лицензий для Adobe Creative Cloud сейчас невозможна. А продлить действующую подписку могут лишь корпоративные клиенты.

Решения Adobe — основной инструмент при монтаже. Речь об иллюстрациях, 3D-графике, анимации. Существующие платные и бесплатные аналоги пока не дотягивают до уровня софта американской компании, жалуются дизайнеры.

Пользователи вынуждены искать обходные пути для работы. Один из вариантов — создание иностранных аккаунтов и оплата подписки банковскими картами, выпущенные другими странами.

Схема работает, но Adobe периодически банит такие аккаунты, если подозревает, что их используют граждане России.

Добавим, сложившейся ситуацией стали пользоваться “пираты”. Нелегальное ПО от Adobe теперь продают на Авито, Ozon и Wildberries.

Набор программ Adobe Master Collection 2022 (включает 23 программы Adobe, среди которых Photoshop, After Effects, Premiere Pro и т. д.) обойдется там всего в 5 тыс. руб. Правда, никто не гарантирует, что вместе с ними пользователь не скачает вирусы, трояны и шифровальщики.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru