Laboratorium Bromium Labs zajmujące się zabezpieczeniami i badaniem luk w oprogramowaniu komputerowym opublikowało ciekawy raport związany z atakami wymierzonymi w popularne aplikacje. To co można powiedzieć od razu to fakt, że ich liczba rośnie i to w zatrważającym tempie. Choć producenci starają się reagować na informacje o problemach dosyć szybko, ich oprogramowanie cały czas posiada i będzie posiadało luki – obecnie dystrybuowane programy są tak skomplikowane, że uniknięcie podatności stało się niemożliwe. Co jednak niesie za sobą największe ryzyko?
Aplikacją, która jest swoistą rekordzistką został Internet Explorer. Niestety, ale to właśnie przeglądarka Microsoftu jest atakowana najczęściej i najczęściej są w niej wyszukiwane luki. Dane robią bardzo negatywne wrażenie, bo tylko w pierwszym kwartale 2014 roku wykryto w nim więcej luk niż przez cały rok 2013 (niemalże 150). Tendencję wzrostową widać i w przypadku innych aplikacji narażonych na ataki, ale tylko IE wypadł tak źle. Odpowiadać za to może zintegrowany w przeglądarce Flash, którego luki często są wliczane w te wykryte w samym Internet Explorerze, co wyniki znacząco zawyża.
Na drugim miejscu uplasował się Firefox, który już od jakiegoś czasu zaczyna wypadać słabiej w tego typu statystykach. Wynik nie jest jednak taki zły, bo o ile rok temu znaleziono około 150 luk (przypominamy, chodzi o cały rok), o tyle pierwszy kwartał obecnego to nieco ponad 50. Podobne ilości zanotowały Chrome oraz Java. Zdziwi się ten, kto sądził że tragicznie wypadły produkty od Adobe takie jak Flash i czytnik plików pdf Reader. Choć obie aplikacje notują statystycznie większą liczba podatności niż rok temu, nie jest ona duża. Poza tym, z dotychczasowych przypadków wiadomo, że Adobe bardzo szybko reaguje na zgłoszenia. Na samym końcu znalazł się pakiet Office.
Choć Internet Explorer wypadł naprawdę źle, można pochwalić Microsoft za czas reakcji na zgłoszenia o wykrytych podatnościach. Jeszcze kilka lat temu w czasie królowania IE9 zajmowało to firmie średnio około 3 miesięcy. Obecnie łatki są wydawane w mniej niż tydzień, co jest ogromnym wzrostem jakościowym. Jeżeli takie zachowanie dotyczyłoby wszystkich wykrywanych luk, to nawet zwiększona ich liczba nie stanowi problemu, bo użytkownicy szybko otrzymają łatki, oczywiście o ile korzystają z mechanizmu automatycznych aktualizacji systemowych. W przypadku IE najczęściej stosowanymi metodami przy atakach za pomocą exploitów jest stosowanie inżynierii wstecznej do ataków na pamięć aplikacji, a także omijanie zabezpieczeń systemowych takich jak ASLR i DEP.
Według autorów raportu, poważnym zagrożeniem jest również stosowanie Action Script Sprays do ataków na przeglądarki i Flasha. Przewidywania mówią o tym, że ich udział tylko się zwiększy. Wnioski są proste do wyciągnięcia: najsłabszym ogniwem używanych na co dzień komputerów są przeglądarki, a także wtyczki w nich dostępne. Dobrym krokiem jest więc rezygnowanie z niepotrzebnego oprogramowania (np. Javy), a także włączanie rozwiązań takich jak click-to-play. Nasze bezpieczeństwo poprawia z pewnością szybszy cykl wydawniczy przeglądarek, niemniej najważniejsze i tak jest to, co robimy sami.