Bolja godina za Flash, Reader i Javu, ipak ovi programi su i dalje veliki problem

Vesti, 29.08.2014, 09:25 AM

Opšte je poznato da su Java, Adobe Flash i Reader najugroženiji softver na prosečnom računaru. Međutim, izgleda da je 2014. bila bolja od prošle godine kada su proizvođači i korisnici bili suočeni sa brojnim ranjivostima u ovim programima.

Analizirajući ono što se dešavalo prethodne tri godine, stručnjaci firme Heimdal Security su došli do zaključka da je 2013., po broju poznatih ranjivosti, bila ekstremna godina, što naročito važi za ranjivosti u Javi, kojih je bilo ukupno 180.

Acrobatu je takođe išlo loše sa 66 ranjivosti, a Flash Player ih je imao 56. Ove godine, Acrobat do sada ima 16, a Flash Player 36 poznatih ranjivosti.

Broj ranjivosti otkrivenih na mesečnom nivou je takođe smanjen, skoro na nivoe iz 2012.

Ali CVSS rejting (Zajednički sistem bodovanja ranjivosti) za ove propuste ostaje i dalje visok i kreće se između 7 i 9 za ove programe.

Heimdal Security je računao prosečan broj ranjivosti otkrivenih pre objavljivanja zakrpe za svaki dati propust, što je grubo računanje jer nije isto kao i stvarno vreme objaljivanja ispravki. Za Javu u 2014. taj broj je 18, dok za Flash i Reader je 4. To ukazuje da objavljivanje zakrpa ne ide u korak sa obimom javno poznatih propusta.

Kombinujući ove brojeve, u Heimdal Security su zaključili da je istovremeno sa smanjenjem broja ranjivosti skraćeno vreme objavljivanja zakrpa, ali da to poboljšanje nije dovoljno da bi se smatralo značajnim sa aspekta bezbednosti. Računari i dalje imaju brojne propuste u svakom trenutku.

Java je posebno velika nevolja, u toj meri da stručnjaci smatraju da je treba ukloniti sa svakog sistema gde nije potrebna.

“Naši podaci iz prethodne tri godine pokazuju da više od 99% računara koji rade na Windows operativnim sistemima verovatno koriste ili Javu ili Acrobat Reader ili Flash Player”, kaže direktor Heimdal Security Morten Kjaersgaard.

“Ova tri softvera skoro konstantno pate od ranjivosti sa ocenom ozbiljnosti ranjivosti 7 ili višom na CVSS skali. Naša analiza takođe ukazuje i na alarmantnu sporost proizvođača u objavljivanju zakrpa.”

Ipak, ranjivosti ne mogu da ispričaju celu priču. Ostaje nedorečeno koliko od ovih ranjivosti se zaista koristi u napadima. Ipak, postoji veza između ranjivosti softvera i mogućnosti da se napadi dogode.

Proizvođači softvera, kao što su Oracle, Adobe i Apple treba da pojačaju svoj tempo kada je reč o objavljivanju ispravki za propuste u softveru, smatraju u Heimdal Security. S druge strane, korisnici softvera treba da imaju na umu da su prepušteni sami sebi sa široko otvorenim računarima.

Pored svega ovoga, treba napomenuti i da analitičari iz Heimdal Securityja nisu uopšte uzimali u obzir propuste u Windows platformi i browserima, što nije zanemarljivo, posebno imajući u vidu da je Internet Explorer, prema jednom nedavno objavljenom izveštaju, zabeležio rekordan broj ranjivosti.