en

‫ گزارش امنيتي مايكروسافت از نيمه دوم سال 2014 (قسمت اول)

شماره: IRCRE201507198
تاريخ: 30/04/94
مايكروسافت در گزارش امنيتي هوشمند خود به آسيب پذيري­هاي نرم افزاري، كدهاي سوء استفاده كننده از آسيب پذيري­هاي نرم افزاري، نرم افزارهاي ناخواسته و خرابكار و نشت­هاي امنيتي در نرم افزارهاي خود و نيز نرم افزارهاي ساير توليد كنندگان پرداخته است. اين گزارش با توجه به تحليل­هاي امنيتي در مورد سال­هاي گذشته و با تمركز بر نيم سال دوم 2014 تهيه شده است. در ادامه، قسمت اول اين گزارش را مطالعه مي‌كنيد.
آسيب پذيري­ها
اهميت آسيب پذيري­ها
نمودار زير نشان دهنده آسيب پذيري­هاي افشا شده در نيم سال اول 2012 تا نيم سال دوم 2014 با توجه به اهميت آنها ميباشد.
در نيم سال دوم 2014، حجم آسيب پذيري هاي افشاء شده «با خطر متوسط»، 72.5 درصد از كل آسيب پذيري هاي افشاء شده را به خود اختصاص مي دهند كه بيشترين ميزان از كل آسيب پذيري هاي افشاء شده مي باشد و نسبت به نيم سال اول رشد قابل توجهي داشته است. اين افزايش نتيجه كشف آسيب پذيري هاي SSL در تعدادي زيادي از برنامه هاي كاربردي اندرويد در فروشگاه گوگل پلي مي باشد.
پيچيدگي آسيب پذيري­ها
سوء استفاده از برخي آسيب پذيري­ها آسان و برخي ديگر بسيار سخت است. اين مساله معيار بسيار مهمي در ارزيابي ميزان تهديد يك آسيب پذيري است. يك آسيب پذيري «بسيار خطرناك» كه صرفا تحت شرايط بسيار خاص و نادر قابل سوء استفاده است، توجه كمتري نسبت به يك آسيب پذيري «كم خطر» كه به سادگي مورد سوء استفاده قرار مي­گيرد نياز دارد.
نمودار زير نشان دهنده پيچيدگي آسيب پذيري­ها از نيم سال اول 2012 تا نيم سال دوم 2014 است. توجه كنيد كه پيچيدگي بيشتر يك آسيب پذيري به معني خطر كمتر مي­باشد.
همان طور كه مشاهده مي­شود، آسيب پذيري­هايي با پيچيدگي متوسط 61.5 درصد از كل آسيب پذيري­هاي افشاء شده در نيم سال دوم 2014 را به خود اختصاص مي­دهد و نسبت به نيم سال اول دو برابر شده است. اين افزايش نتيجه كشف آسيب پذيري هاي SSL در تعدادي زيادي از برنامه هاي كاربردي اندرويد در فروشگاه گوگل پلي مي باشد.
در نيم سال دوم 2014، آسيب پذيري هايي با پيچيدگي كم افزايش قايل توجهي يافته است. اين ميزان نسبت به نيم سال اول 20.3 درصد افزايش داشته است.
آسيب پذيريهاي افشا شده با پيچيدگي زياد نسبت به نيم سال اول 2014 حدود 4.0 درصد كاهش داشته اند و 1.6 درصد از كل آسيب پذيريهاي كشف شده را به خود اختصاص ميدهند.
آسيب پذيريهاي سيستم عامل، مرورگر و برنامه
شكل زير نشان دهنده آسيب پذيريهاي سيستم عاملها، مرورگرها و برنامه ها از نيم سال اول 2012 تا نيم سال دوم 2014 ميباشد.
در نيم سال دوم 2014، آسيب پذيري هاي افشاء شده برنامه ها 98.3 درصد افزايش داشته است و حدود 76.5 درصد از كل آسيب پذيري هاي افشاء شده را به خود اختصاص داده است. اين افزايش به علت كشف آسيب پذيري هاي SSL در تعدادي زيادي از برنامه هاي كاربردي اندرويد در فروشگاه گوگل پلي مي باشد.
آسيب پذيري هاي افشاء شده سيستم عامل Core در اين نيم سال 23.6 درصد افزايش يافت. در مجموع آسيب پذيري هاي سيستم عامل 9.1 درصد از كل آسيب پذيري هاي افشاء شده را به خود اختصاص مي دهد.
در نيم سال دوم 2014، آسيب پذيري هاي افشاء شده برنامه هاي سيستم عامل 22.8 درصد كاهش يافته است. هم چنين آسيب پذيري هاي افشاء شده مرورگر كاهش يافت و به 12.0 درصد رسيد.
افشاي آسيب پذيريها
نمودار زير، آسيب پذيريهاي افشا شده محصولات مايكروسافت و ساير توليد كنندگان را از نيم سال اول 2012 تا نيم سال دوم 2014 با يكديگر مقايسه ميكند.
آسيب پذيري ها در محصولات مايكروسافت در نيم سال دوم 2014 با 16.7 درصد افزايش نسبت به نيم سال اول 2014 مواجه بوده است. در نيم سال اول 2014، 180 آسيب پذيري افشاء شده است در حالي كه در نيم سال دوم 210 آسيب پذيري در محصولات مايكروسافت افشاء شده است.
در همين زمان، آسيب پذيري هاي افشاء شده در محصولات غير مايكروسافتي به دليل افشاي آسيب پذيري هاي SSL در تعداد زيادي از برنامه هاي كاربردي اندرويد در فروشگاه گوگل پلي 93.8 درصد افزايش يافته است.
كدهاي سوء استفاده كننده
نمودار زير نشان دهنده شيوع انواع مختلف كدهاي سوء استفاده كننده از آسيب پذيريها در دوره هاي سه ماهه از سه ماهه اول 2014 تا سه ماهه چهارم 2014 ميباشد.
در نيم سال دوم 2014 كدهاي سوء استفاده جاوا كاهش يافته است و در رده بندي رايج ترين انواع كدهاي سوء استفاده در رده سوم قرار گرفته است.
سوء استفاده از سيستم عامل افزايش كمي داشته است و در رده دوم جدول قرار گرفته است.
در نيم سال دوم 2014 سوء استفاده از سند، ادوب فلش پلير و مرورگر در وضعيتي پايدار قرار دارند و درصد كمي از كل كدهاي سوء استفاده را به خود اختصاص مي دهند.
منابع:

The Wall

No comments
You need to sign in to comment