Niebezpieczne luki a aktualizacja oprogramowania

Przeczytaj także: Wyszukiwarki internetowe a exploity

W skanowaniu w poszukiwaniu luk dla każdego programu rejestrowany jest tylko jeden potencjalny słaby punkt, choć podatność może obejmować kilka luk bezpieczeństwa. Jednakże, w przypadku Javy firmy Oracle, wszystkie pięć luk było bardzo aktywnie wykorzystywanych przez cyberprzestępców. Oznacza to, że musieliśmy wziąć pod uwagę wszystkie z nich, aby ocenić, na ilu użytkowników miały wpływ. Jak widać, w dowolnym czasie w 2012 r. zawsze istniała duża liczba użytkowników zagrożonych lukami w Javie. W najniższym punkcie, w lutym, więcej niż jedna trzecia (34,5%) użytkowników została dotknięta; wyż przyszedł w październiku, kiedy to połączenie trzech luk ogarnęło 61,1% użytkowników.

Widzimy również, że użytkownicy są bardzo niechętni, aby przejść do aktualizacji oprogramowania, nawet jeśli miało by to naprawić naruszone kwestie bezpieczeństwa. W jednym szczególnym przypadku, który obejmował wielokrotne luki w Javie wykryte w lutym 2012 r., najwyższy odnotowany udział dotkniętych użytkowników wyniósł 52,4% pod koniec lutego 2012 r. Uaktualnienie dla Javy w wersji 6 i 7 zostało opublikowane 14 lutego. 16 tygodni później (cztery miesiące!) odsetek podatnych użytkowników spadł do 37,3% - co nadal jest znaczną wartością. Podczas tego okresu wydana została kolejna aktualizacja Javy (26 kwietnia) bez poprawek bezpieczeństwa. Dopiero kolejna łata, wydana 12 czerwca, naprawiała nowo odkryte luki. Innymi słowy, użytkownicy mieli około czterech miesięcy, aby przejść do nowej wersji oprogramowania (bezpiecznej w tamtym czasie), ale zajęło im to zadziwiająco dużo czasu.

Analiza faktycznego użytkowania Javy

Przeprowadziliśmy dalszą analizę faktycznego wykorzystania oprogramowania Java w okresie między dwiema aktualizacjami. W dniu 30 sierpnia, Oracle opublikowało uaktualnienia Java SE 7 Update 7 oraz Java SE 6 Update 35. 16 października widzieliśmy wydanie uaktualnień Java SE 7 Update 9 i SE 6 Update 37. Wszystkie te aktualizacje obejmowały poważne luki. Korzystając z alternatywnego źródła danych naszych użytkowników, które wskazywało na rzeczywiste używane oprogramowanie, odkryliśmy, że w użyciu było 41 różnych wersji głównych Javy 6 i 7. Luka, uwzględniona w aktualizacji z 30 sierpnia (szczegóły znajdują się na stronie internetowej firmy Oracle), dotyczyła również wszystkich wcześniejszych wersji Javy. Dlatego połączyliśmy wszystkie poprzednie (dotknięte) wersje Javy i porównaliśmy je z dwiema nowo zaktualizowanymi (naprawionymi) wersjami. Wynik pokazuje poniższy diagram:

Wiedząc, jak bardzo luki w Javie są niebezpieczne dla użytkowników, użyliśmy dalszych metod do przeanalizowania, jak szybko użytkownicy przechodzą do nowszych wersji tego oprogramowania, w obliczu aktywnego wykorzystywania luki obecnej w wersji poprzedniej. W tym przypadku użytkownicy mieli siedem tygodni, aby zaktualizować bezpieczną w tamtym czasie wersję Javy 6 lub 7, ale dokonało tego mniej niż 30% użytkowników, zanim nie pojawiła się kolejna wersja (naprawiająca kolejny zestaw wielokrotnych luk) produktu. W naszym poprzednim raporcie odnoście korzystania z przeglądarek internetowych, użyliśmy podobnych danych do obliczenia szybkości aktualizacji dla Google Chrome’a, Firefoksa i Opery. We wszystkich trzech przypadkach, więcej niż 30% użytkowników przeszło na nowsze wersje w ciągu tygodnia od pojawienia się uaktualnionej kompilacji. Z czystym sumieniem możemy opisać proces aktualizacji Javy jako bardzo wolny.

Luki w Adobe Flash Player

Na podstawie liczby luk często wykrywanych w roku 2012, Adobe Flash Player przewyższa Javę – podczas tego okresu wykryliśmy 11 (!) szeroko rozpowszechnionych luk (kolejnych pięć dotyczyło Shockwave Playera i innego rodzaju oprogramowania). Na szczęście, tylko dwie z nich w rzeczywistości były wykorzystywane przez cyberprzestępców (w porównaniu z pięcioma w przypadku Javy). W pierwszej kolejności chcielibyśmy zwrócić uwagę na jedną szczególną podatność Flasha, która wyróżnia się spośród pozostałych.

W odróżnieniu od innych luk Adobe Flash Playera, które przeanalizujemy później, ta jedna została odkryta i załatana więcej niż dwa lata temu. Ale jak widać, użytkownicy, którzy mieli tę konkretną wersję, nie zostali poinformowani o aktualizacji lub byli zbyt leniwi, aby odpowiedzieć na powiadomienie o automatycznym uaktualnieniu programu. Przestarzałe i podatne wersje Adobe Flash Playera były zainstalowane średnio na 10,2% komputerów użytkowników – jest to zdumiewająca ilość maszyn, biorąc pod uwagę fakt, że potwierdzone zostało istnienie exploita dla tej luki, który na szczęście nie był aktywnie wykorzystywany. Wydaje się możliwe, że ta luka zniknie dopiero wtedy, gdy wszystkie komputery, na których aktualnie uruchomione jest przestarzałe oprogramowanie, zostaną zastąpione nowymi modelami.