Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Firma Cenzic, specjalizująca się w tworzeniu aplikacji bezpieczeństwa, opublikowała swój raport za pierwszą połowę 2009 roku. Czytamy w nim, że przeglądarką, w której znaleziono najwięcej luk, był Firefox.

Produkt Mozilli był odpowiedzialny za 44% wszystkich dziur znalezionych w przeglądarkach. Na drugim miejscu  uplasowało się Safari, którego luki stanowiły 35% wszystkich. Trzecie miejsce przypadło Internet Explorerowi (15%), a czwarte Operze (6%).

Warto przypomnieć, że w raporcie za II połowę 2008 roku pierwsze miejsce na niechlubnej liście przypadło IE (43% dziur), a Firefox był wówczas na drugiej pozycji (39%).

Lars Ewe, prezes ds. technicznych firmy Cenzic mówi, że duża liczba luk w Firefoksie jest efektem kilku zjawisk. Przeglądarka przyciąga coraz więcej uwagi, co jest dla niej dobre, ale z drugiej strony im jest bardziej popularna, tym więcej błędów się w niej znajduje. Ponadto dużo luk występowało we wtyczkach. To właśnie architektura wtyczek jest tym, co przyczynia się do popularności przeglądarki i są one jednym z powodów, dla których uwielbiam Firefoksa. Jednak [Mozilla - red.] nie jest w stanie kontrolować bezpieczeństwa wszystkich wtyczek i jest to uboczny efekt popularności - stwierdza Ewe.

Jednak fakt, że w Firefoksie znaleziono największą liczbę błędów nie oznacza, że jest to najmniej bezpieczna przeglądarka. Ewe informuje, że jego firma korzysta właśnie z technologii Mozilli w swoich produktach, co świadczy o tym, że można jej zaufać.

Wyjaśnia również, w jaki sposób liczono liczbę błędów. Przygotowując raport oparto się na wielu różnych statystykach i uśredniono ich wyniki. W zależności bowiem od źródła można znaleźć kilkuprocentowe różnice w liczbie raportowanych błędów. Można mówić, że błędów jest 40% lub 42%, w zależności od tego, jak się je liczy, ale na pewno różnice w różnych statystykach nie są duże.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Takimi raportami można się podetrzeć, nie są miarodajne bo każda firma nakłada inny priorytet wykrywalności dziur.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

po pierwsze, i tak w przeglądarce największym błędem jest user który włazi na niebezpieczne strony i klika "tak" lub "ok" na wszystkie komunikaty ktore mu przeglądarka wyświetla...

 

po drugie, bezpieczeństwo polega również na aktualizacjach, jak znajdą dziurę to ją szybko załatają, i dziury nie ma, a w statystykach jest +1

 

po trzecie - wszystkie bardziej zaawansowane programy są dziurawe, jednak tylko w najpopularniejszych szuka się dziur. Przykladowo - napisze przeglądarke www, bedę używał jej tylko ja, to będzie potencjalnie najbezpieczniejszy soft na rynku, bo nikt nie będzie miał do niego dostępu i nikt nie będzie w stanie sprawdzić czy ma dziury czy nie...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Szkoda, tylko że:

- liczy się nie tylko ilość dziur, ale powstające przez luki zagrożenie i PRAWDOPODOBIEŃSTWO WYKORZYSTANIA dziury

 

- już w niemieckim chipie pisali: owszem, mozilla chętnie przyznaje się do wykrytych dziur, jednak Microsoft przyznaje się do błędu dopiero, gdy luka już jest faktycznie wykorzystywana i zaprzeczanie nie ma sensu...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli tak pisali w niemieckim Chipie to baaardzo się mylili. Zarówno co do postępowania MS jak i co do sensowności łatania.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli tak pisali w niemieckim Chipie to baaardzo się mylili. Zarówno co do postępowania MS jak i co do sensowności łatania.

Zapewne nie pierwszy i nie ostatni raz, szkoda tylko że polski chip to teraz tłumaczenie niemieckiego wydania...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli tak pisali w niemieckim Chipie to baaardzo się mylili. Zarówno co do postępowania MS jak i co do sensowności łatania.

 

Parę miechów temu czytałem o błędzie, którego Microsoft nie załatał od prawie trzech lat. Nie raz zresztą było trzeba czekać na poprawki przez miesiąc od wykrycia.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Cyberprzestępcy wykorzystują nowo odkrytą dziurę zero-day w Internet Explorerze. Luka pozwala napastnikowi na korzystanie z systemu na prawach aktualnie zalogowanego użytkownika. Błąd występuje w IE 9, 10 i 11 w wersjach na Windows 7, 8.1, RT 8.1, 10, Server 2008, 2008 R2, Server 2012, 2016 i 2019.
      US CERT (Computer Emergency Response Team) informuje, że atak może zostać przeprowadzony za pomocą odpowiednio spreparowanej witryny lub dokumentu HTML renderowanego przez przeglądarkę. Microsoft donosi, że dotychczas zanotowano ograniczoną liczbę ataków z wykorzystaniem tej dziury.
      Dziura pozwalająca na zdalne wykonanie kodu wykorzystuje błąd w przetwarzaniu obkektów przez silnik Internet Explorera. W wyniku błędu dochodzi do awarii podsystemu pamięci tak, że napastnik może wykonać dowolny kod na prawach zalogowanego użytkownika. [...] Jeśli zalogowany jest administrator, napastnik może przejąć kontrolę nad systemem. Ma wówczas możliwość instalowania programów, przeglądania, zmiany i usuwania danych czy też stworzenia nowego konta z pełnymi uprawnieniami użytkownika, czytamy na stronach Microsoftu.
      Koncern opublikował też porady dotyczące obejścia problemu i tymczasowego zabezpieczenia się przed atakiem. Proponuje ograniczenie dostępu do JScript.dll. Jednak, jako że technika ta wymaga uprawnień administracyjnych, korzystania z linii komend, a ograniczenia należy wyłączyć przed zainstalowaniem łatki, działania takie zalecane są tylko wówczas, jeśli jesteśmy narażeni na atak.
      Odpowiednia poprawka zostanie opublikowana w drugą środę przyszłego miesiąca, w ramach comiesięcznego zestawu łat.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Z informacji opublikowanych przez Net Applications rynkowy udział przeglądarek Microsoftu jest rekordowo niski. W sierpniu Internet Explorer i Edge straciły 1,8 punktu procentowego i obecnie należy do nich 12% rynku.
      Zapewne będziemy świadkami dalszych spadków. W bieżącym roku udziały przeglądarek z Redmond wahały się wcześniej w granicach 12,4–14 procent. Za większość wrześniowego spadku, niemal 1,4 pp, odpowiada Internet Explorer. Przeglądarka, która niegdyś dominowała w internecie ma obecnie zaledwie 6,1% udziałów. Udziały Edge'a spadły o 0,4% do poziomu 5,9%. Jeszcze w sierpniu Edge zanotował wzrost i miał najwyższe udziały w swojej historii.
      Przyszłość microsoftowych przeglądarek rysuje się w czarnych barwach. Internet Explorer jest utrzymywany przy życiu tylko dlatego, że domaga się tego część przedsiębiorstw potrzebujących tej przeglądarki ze względu na kompatybilność. Jednak zainteresowanie tą przeglądarką wyraźnie spada. Dość powiedzieć, że w ubiegłym miesiącu używało jej tylko 7% użytkowników Windows, a w ciągu ostatnich miesięcy udziały IE na komputerach z Windows spadły o 60%. Microsoft wolałby nie zajmować się IE i całkowicie poświęcić się rozwojowi Edge'a. Firma zapowiada wypuszczenie wersji Edge'a opartego na google'owskim Chromium. Pozostaje pytanie, czy wobec spadającego zainteresowania Edge'em tworzenie nowej wersji przeglądarki ma sens.
      Nie najlepiej radzi sobie też Firefox. We wrześniu jego rynkowe udziały zwiększyły się o 0,3% i wynoszą obecnie 8,7%. To już czwarty miesiąc z rzędu, gdy udziały tej przeglądarki są niższe niż 9%. W ciągu ostatniego roku Firefox stracił niemal 1 pp udziałów. Nic nie wskazuje na to, by przeglądarka Mozilli miała odzyskać rynek. Przed dwoma laty jej rynkowe udziały wynosiły 11,4%. Jedynie przez 3 z ostatnich 18 miesięcy do Firefoksa należało więcej niż 10% rynku.
      Obecnym zwycięzcą konkurencji na rynku przeglądarek jest Chrome do którego należy 68,5% rynku. To o 0,1% mniej niż w rekordowym dla tej przeglądarki lipcu bieżącego roku. W ciągu roku udziały Chrome'a wzrosły o 2,1 punktu procentowego, a obserwacja obecnych trendów pozwala wysnuć przypuszczenie, że do maja przyszłego roku udziały Chrome'a wyniosą ponad 70%.
      Media prześledziły dane firmy Net Applications od stycznia 2005 roku i stwierdziły, że jak dotąd na przestrzeni ostatnich 14 lat najlepszymi wynikami mógł pochwalić się Internet Explorer. W styczniu 2005 roku należało do niego aż 89,4% rynku. Firefox posiadał wówczas 5,6% udziałów, Netscape Navigator miał 2% rynku, a Safari 1,7%. Do grudnia 2008 roku udziały IE spadły do obecnego poziomu Chrome'a.
      Obecnie do Safari należy 4,4% rynku, a Opera posiada 1,4%.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Microsoft prowadzi śledztwo mające wyjaśnić, jak prototypowy kod atakujący niebezpieczną dziurę w Windows trafił do rąk cyberprzestępców. Microsoft przed tygodniem wydał kolejny comiesięczny zestaw poprawek w ramach Patch Tueday. Znalazła się w nim łata na poważną dziurę w Remote Desktop Protocol, która pozwala przestępcom na przejęcie kontroli nad systemem. Wcześniej w ramach Microsoft Active Protection Program (MAPP) koncern z Redmond dostarczył firmom antywirusowym prototypowy kod atakujący dziurę. Microsoft standardowo przekazuje 79 wybranym firmom antywirusowym szczegóły techniczne dziur jeszcze zanim je załata. Dzięki temu firmy mogą szybko przygotować oprogramowanie zabezpieczające. Pojawienie się łat jest bowiem dla cyberprzestępców okazją do wykonania na nich inżynierii wstecznej i poznanie dzięki temu szczegółów załatanych dziur. Czasami potrafią oni przygotować szkodliwy kod w ciągu kilku godzin od opublikowania przez Microsoft poprawek.
      Tym razem jednak przygotowany kod przygotowany w Redmond na potrzeby firm antywirusowych wyciekł do internetu. Co więcej, trafił tam nie tylko kod Microsftu. Znany specjalista ds. bezpieczeństwa, Luigi Auriemma, który w maju 2011 roku odkrył wspomnianą dziurę, poinformował o niej Zero Day Initiative (ZDI) i dostarczył prototypowy kod, poinformował, że tego samego dnia, gdy wyciekł kod Microsoftu, on znalazł swój prototypowy kod na jednej z chińskich witryn.
      Auriemma twierdzi, że odkryty przezeń program zawierał znaki „MSRC11678„ co wskazuje, że do wycieku doszło w Microsofcie, a nie w ZDI. Kod Auriemmy został przekazany Microsoftowi przez ZDI w sierpniu 2011 roku w celu wykonania szczegółowych analiz.
      Na szczęście prototypy, które przedostały się do internetu, nie pozwalają na zdalne przejęcie kontroli nad komputerem. Umożliwiają jednak spowodowanie awarii systemu.
      Jak mówią przedstawiciele ZDI, Microsoft zgadza się z wnioskiem, że to nie ZDI jest źródłem przecieku. Na razie nie wiadomo, czy kod upublicznił ktoś z Microsoft czy też z firm antywirusowych.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...