Об уязвимостях операционных систем и прикладного ПО написаны тысячи статей. Необходимо обновлять не только ОС, но и прикладное ПО. Пора привыкнуть, что ПО пишут люди, а людям свойственно ошибаться.

27 января компания Eset представила отчет об уязвимостях программных продуктов Microsoft в 2015 г. Отмечен четырехкратный рост числа уязвимостей в различных компонентах пользовательского интерфейса Windows. Эти уязвимости могут быть использованы для удаленного исполнения вредоносного кода или для получения максимальных привилегий в системе.

Второй год подряд большинство уязвимостей программных продуктов Microsoft приходится на Internet Explorer — 231. Тем не менее, их число незначительно снизилось в сравнении с 2014-м (243). Закрытые уязвимости браузера могли использоваться для скрытой установки вредоносного ПО.

В новом браузере Microsoft Edge, представленном в 2015 г., в отчетный период закрыто 27 уязвимостей. Продукт использует усиленные настройки безопасности, которые по умолчанию выключены в Internet Explorer 11.

Некоторые уязвимости программных продуктов Microsoft эксплуатировались в атаках. В частности, уязвимость диспетчера монтирования дисков CVE-2015-1769 позволяла запускать произвольный код с USB-носителя с максимальными привилегиями. Она напоминает уязвимость, которая ранее использовалась для распространения червя Stuxnet. Уязвимость системного драйвера http.sys CVE-2015-1635 позволяла удаленно исполнять код, проводить DDoS-атаки или вызывать критическую системную ошибку Windows (BSoD).

В целом, в 2015-м Microsoft закрыла 571 уязвимость в своих продуктах, что на треть больше, чем в 2014 г.

Казалось бы такие цифры должны способствовать тому, что пользователи будут обновлять свои операционные системы и приложения. Но, увы, это не так.

Мы уже обсуждали печальное положение с обновлением гаджетов под управлением Android. Ситуация с обновлением устройств на iOS также плохая. И ненамного лучше положение дел с обновлением устройств под Windows Phone.

А как обстоит дело с обновлением ОС Windows и приложений на ПК?

Обратимся к статистике компании Secunia, основанной на сборе данных 20 000 пользователей ПК.

Общее число ПК, на которых установлена одна или более небезопасных программ составляет 98,09%, т. е. 98 из 100 ПК, подключенных к Интернету, содержат небезопасное ПО. Исследователи получили следующее распределение ПК по числу небезопасных программ:

  • 0 — 1,91% ПК;
  • 1-5 — 30,27% ПК;
  • 6-10 — 25,07% ПК;
  • 11 и более небезопасных программ — 45,76% ПК.

«Небезопасной программой» считается ПО, имеющее новую версию, доступную у поставщика, в которой исправлена одна или более уязвимостей. При этом пользователь должен все же установить более защищенную версию.

Уязвимость в программе может быть использована злоумышленниками для автоматической установки трояна (вредоносного ПО), хищения приватной информации и т. д. Стоит помнить, что никакой антивирус не сможет защитить от угроз наличия уязвимостей в ПО. Жизненно важно вовремя устанавливать исправления уязвимостей в программном обеспечении.

Автор статьи — Microsoft Security Trusted Advisor, MVP Consumer Security.