KYBEZ

Pokud jste si mysleli, že nejhůře je na tom Microsoft, výsledky databáze Common Vulnerabilities and Exposures (CVE) říkají něco jiného, byť tato pověst firmy v povědomí lidí stále přetrvává. Tato databáze funguje již od roku 1999 a je dnes v podstatě již průmyslovým standardem pro sběr informací o nových zranitelnostech a bezpečnostních děrách v systémech výrobců software.

Microsoft vedl žebříček výrobce nejděravějšího software až do roku 2010. V roce 2011 nastal zlom a pomyslné žezlo přebral Google, po něm v roce 2012 Oracle, který vede s přestávkou v roce 2015 (kdy jej překonal Apple) až do dneška. Oracle za to vděčí především děravé platformě Java.

A jak tedy vypadal žebříček za rok 2016? (v závorce je celkový počet incidentů)

1    Oracle (793)
2    Google (698)
3    Adobe (548)
4    Microsoft (492)
5    Novell (394)
6    IBM (382)
7    Cisco (353)
8    Apple (324)
9    Debian (320)
10  Canonical (280)

Možná vás pak překvapí i žebříček operačních systémů dle počtu objevených chyb v roce 2016, ten vypadá následovně:

1    Android (523)
2    Debian Linux (319)
3    Ubuntu Linux (278)
4    Leap (259)
5    Opensuse (228)
6    Linux Kernel (217)
7    Mac Os X (215)
8    Windows 10 (172)
9    Iphone Os (161)
10  Windows Server 2012 (156)

V přehledu “nejnebezpečnějších” aplikací pak kralují produkty firmy Adobe:

1    Flash Player (266)
2    Acrobat Reader Dc (227)
3    Acrobat Dc (227)
4    Acrobat (224)
5    Reader (204)
6    Chrome (172)
7    Edge (135)
8    Firefox (133)
9    Internet Explorer (129)
10    PHP (107)

A tak by se dalo v přehledu průšvihů pokračovat ve spoustě dalších přehledů. Pokud vás problematika zajímá, můžete si data z této veřejně dostupné databáze stáhnout a vyzkoušet si sestavit vlastní žebříčky, případně se můžete podívat na analýzu těchto dat zde: http://www.cvedetails.com/ 

A POUČENÍ?

To, že se chyba objeví v této databázi, je vlastně dobře. Víme, že se o problém někdo začal zajímat a nyní už jen záleží na výrobcích software, jak rychle na objevené chyby zareagují. V případě operačních systémů se chyby dnes opravují v řádech dnů/týdnů (až na výjimky) a aktualizují se systémem automatických aktualizací, tak aby se minimalizovala možnost útoku tzv. Zero day exploit . 

Horší je ale situace mimo operační systémy, zde se chyby opravují v řádek měsíců a distribuce oprav je problematická. Lze situaci řešit tím, že za problematický software najdeme náhradu od odpovědnějšího výrobce, případně zkusíme udržovat software v nejnovějších verzích. Zajímavý článek k tomuto tématu je na stránkách 365tipů