Traduzione di Google Translate del post di Brian Krebs.
dati riferiti ad uno studio sull’anno 2006
SecurityFix ha trascorso alcune settimane per la compilazione di statistiche su quanto tempo ci sono voluti alcuni dei principali fornitori di software per il rilascio delle patch di sicurezza per i difetti nei loro prodotti. Dato che Windows è il più utilizzato sistema operativo al mondo, ha senso portare fuori con i dati in Microsoft ’s aggiornamenti di sicurezza nel 2006.
In primo luogo, una nota sulla metodologia alla base di questo post del blog: I dati qui presentati si basa su un progetto ho iniziato alla fine del 2005 guardare indietro su tre anni di sforzi da parte di Microsoft per affrontare solo i più gravi buchi di sicurezza nel suo software. Ho condotto la stessa ricerca di nuovo il mese scorso, contattando singolarmente quasi tutti i ricercatori di sicurezza che hanno presentato le relazioni di difetti critici in prodotti Microsoft per imparare da loro non solo le date che avevano presentato le loro conclusioni alla società, ma anche tutte le altre tendenze di sicurezza o anomalie osservate nel loro lavoro con il più grande creatore di software.
Diverse settimane prima di inviare queste informazioni, ho condiviso i dati raccolti ho avuto con Microsoft. I funzionari Mi sono occupato con utilmente o di concordava quibbled leggermente con alcuni dei miei risultati, ma la società non ha sollevato obiezioni che avrebbe materialmente influenzare i risultati presentati in questo particolare studio dei difetti di IE. In realtà, se si esamina il link incluso nella vulnerabilità grafico che accompagna questo post, puoi vedere te stesso come per i dati è supportato da informazioni pubblicate sul web nel corso degli ultimi anni.
Patching Internet Explorer in 2006
Per tutti i suoi miglioramenti touted sicurezza, il rilascio di Microsoft del nuovo Internet Explorer 7 nel novembre del browser è venuto troppo tardi nel corso dell’anno per migliorare la sorte degli utenti di Internet Explorer, che costituiscono circa l’80 per cento di tutto il mondo comunità online.Per un totale 284 giorni nel 2006 (o più di nove mesi dell ‘anno), per sfruttare il codice noto, non patchati critica difetti in fase di pre-IE7 versioni del browser è stata pubblicamente disponibili su Internet.Allo stesso modo, vi sono stati almeno 98 giorni l’anno scorso, in cui non fix software da Microsoft sono disponibili per correggere i bug di IE che i criminali sono stati attivamente utilizzando per rubare personali e dati finanziari da parte degli utenti.
In un totale di dieci casi l’anno scorso, le istruzioni in dettaglio come sfruttare i “critici” vulnerabilità in Internet Explorer sono stati pubblicati on-line prima di Microsoft era una patch per correggerli.
Microsoft etichette vulnerabilità del software “critico” – il suo più grave di rating – se i difetti potrebbe essere sfruttato a vantaggio penale senza alcuna azione da parte degli utenti, o da uno solo convincere l’utente a fare clic su un link, visitare un “maligno” Sito Web, o aprire un appositamente creato e-mail o allegati e-mail.
[Il grafico postato qui dimostra la sovrapposizione delle minacce provenienti da vari difetti di IE durante tutto l'anno.]
Al contrario, Internet Explorer concorrente più vicino in termini di quota di mercato – Mozilla Firefox – ha subito un unico periodo della durata di soli nove giorni ultimo anno in cui il codice per sfruttare un grave buco di sicurezza è stato postato on-line prima di Mozilla spedito una patch per risolvere il problema .
Criminali specializzata nella frode di Internet ha continuato a strati molto più dei loro scambi commerciali con l’aiuto di problemi di sicurezza nel browser di Microsoft dello scorso anno. Nel 2006, la società ha rilasciato patch per risolvere un totale di quattro “zero-day” difetti in IE. “Zero-day” (o 0 giorni), gli attacchi sono così chiamato perché i produttori di software non hanno tempo per sviluppare una correzione per i difetti prima che siano sfruttate da cyber-truffatori finanziari o per guadagno personale.
Il primo grande difetto in un programma di Windows coinvolto l’anno scorso uno che potrebbe essere facilmente sfruttata tramite Internet Explorer. A fine dicembre 2005, gli esperti di cingoli criminalità organizzata in siti di hacking e semina con il codice che ha installato rubare password-spyware sulle macchine utilizzate da chiunque semplicemente visitato i siti con IE. Microsoft inizialmente downplayed la gravità degli attentati, fino a quando è diventato chiaro che la minaccia è abbastanza diffuso e che migliaia di clienti era già stato nel attaccarono l’arco di pochi giorni. La minaccia è stata considerata in modo grave che un gran numero di esperti di sicurezza ha invitato gli utenti a scaricare e installare una patch prodotte da un terzo fino a quando Microsoft ha sviluppato un ufficiale di correzione.
Nel mese di settembre, gli aggressori sarebbe sfruttare un difetto nella patch non Microsoft software del server Web per installare codici maligni su migliaia di siti Web legittimi che potrebbero infettare macchine Windows quando gli utenti si limita a navigare i siti con IE. Molto simile al primo IE difetto rilevato nel dicembre 2005, questo sofisticato attacco da criminali organizzati sarebbe pronta anche una serie di terze parti patch di sicurezza nei giorni precedenti di Microsoft ha rilasciato un funzionario aggiornamento.
Controlla indietro con la correzione di sicurezza per il Venerdì un’occhiata al numero di vulnerabilità che la patch di Microsoft, nella sua applicazioni di Office dello scorso anno.
By Brian Krebs | January 4, 2007 Safety Tips Da Brian Krebs |
