Árpád
-2 °C
9 °C

Az ötezer szoftverhiba éve volt 2005

2006.01.03. 12:05
A tavalyi év minden napjára jutott legalább 14 szoftverbug, derül ki az Egyesült Államok számítógépes biztonsági csoportja, a US-CERT most közzétett listájából. Meglepetés, hogy a Mozilla Firefox-szal több baj volt, mint a Microsoft Internet Explorerével, és hogy több unixos-linuxos biztonsági résre derült fény 2005-ben, mint amennyi windowsosra.

Összesen 5198 szoftveres biztonsági rést, exploitot, vírust és trójait gyűjtött össze 2005 januárja és decembere között az Egyesült Államok belbiztonsági minisztériumának számítógépes vészelhárító alegysége, a US-CERT (Computer Emergency Response Team).

A most közzétett listán, amelyet a csoport külső források alapján állított össze, a Unix-Linux-rendszereket érintő bugokból van a legtöbb, pontosan 2328. Ezen kívül a US-CERT 812 olyan hibát sorol fel, amelyek csak a windowsosoknak okoztak gondot 2005-ben, és 2058 olyan biztonsági rést, amelyek egyszerre több operációs rendszeren is felbukkantak.

Rés hátán rés

A windowsos listán maga a Windows-gyár, a Microsoft szerepel a legtöbbször: csak a Microsoft Internet Explorer 45 biztonsági réssel büszkélkedhetett 2005-ben, de még a Wordben is találtak hetet - igaz, a legtöbb neves szoftverkiadó felkerült a listára, így szerepelnek rajta az Adobe, a Cisco, a Macromedia és a Novell szoftverei is.

Az Explorernél jóval rosszabbul szerepelt a rivális Mozilla Firefox, amely különböző konfigurációkban, különböző operációs rendszerek alatt összesen 150-szer került fel a US-CERT buglistájára.

A Windows-versenytárs, a US-CERT által a Unix-Linux operációs rendszerekhez sorolt Apple OS X összesen 25 biztonsági résszel szerepel a 2005-ös listán, de még a dobozos szoftvert nem forgalmazó Google is felkerült három buggal, amelyek közül egy a Google Talkot, egy a Mini Search-öt, egy pedig a Google jelszóemlékeztető szolgáltatását érinti. Rosszindulatú kóddal az utóbbi rávehető arra, hogy a Google inboxban tárolt maileket a felhasználó másodlagos e-mailcímére irányítsa, és elárassza azt.

Ezek a számok indikátorként mindenképpen érdekesek, de messzemenő következtetéseket természetesen nem lehet levonni belőlük, különösen mivel egy-egy hiba akár többször is szerepelhet a listán, vannak köztük olyanok, amelyeket a fejlesztők - akár a kiadó, akár a nyílt forráskóddal foglalató közösség - időközben kijavított, és az is nyilvánvaló, hogy nem minden bug jár egyformán súlyos következménnyel.

Fokozatosan veszélyes

A US-CERT a bugokat veszélyességük alapján három kategóriába sorolja. A különösen veszélyes biztonsági réseket kihasználva egy behatoló azonnal adminisztrátori ( pl. sysadmin vagy root) jogokat szerezhet a megtámadott számítógépen, és azonnal végrehajtható fájlokat futtathat, illetve rendszerfájlokat változtathat meg. A közepesen veszélyes rések kihasználásával a támadó hozzáfér ugyan a rendszerhez, de alaphelyzetben nincsenek adminisztrátori jogai - ez történik, ha szerverkonfigurációs hiba miatt hozzáfér egy jelszófájlhoz. A kevéssé veszélyes bugok révén a potenciális támadó olyan információhoz jut, amelynek felhasználásával további akciókat, esetleg DoS-támadást (Denial of Service, szolgáltatás-leállítás) hajthat végre.

A US-CERT-t, amely független a világban hasonló néven működő vészreakciós csoportoktól, 2003-ban hozta létre az Egyesült Államok a belbiztonsági minisztérium alá rendelt National Cyber Security Division operatív részlegeként.