Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Главный рецепт от тысячи бед

Прочитали: 1405 Комментариев: 95 Рейтинг: 104

Рецепт защиты от уязвимостей всем известен – это установка обновлений. Но проблема в том, что уязвимостей много, и каждый день становится все больше, а число программистов всегда ограничено.

Поэтому каждой уязвимости после проведенного анализа специалисты присваивают уровень опасности, а также оценивают возможность и трудозатратность ее исправления. После этого в план разработки вносятся пункты, обеспечивающие устранение уязвимости.

На всякий случай напомним, что устранение уязвимости – вещь не бесплатная. Это труд не только разработчиков, но и тестировщиков, технических писателей, пиарщиков...

Уязвимости бывают разные. Есть такие, которые может проэксплуатировать любой пользователь, а есть те, для реализации которых нужно иметь очень высокие знания. Поэтому поступают так:

Microsoft опубликовала документ «Security Servicing Commitments for Windows» («Обязательства по обеспечению безопасности для Windows»), в котором компания рассказала о своих обязательствах касательно исправления уязвимостей в операционной системе. В частности, в документе описано, какие именно проблемы программисты Microsoft будут исправлять, а какие останутся без внимания.

Как пояснили в Microsoft, при обнаружении очередной уязвимости действуют два критерия оценки:

  • Угрожает ли найденая уязвимость особенностям операционной системы, которые Microsoft защищает?
  • Достигает ли опасность уязвимости определенного уровня?

Утвердительный ответ на оба вопроса означает, что проблемой займутся программисты Microsoft, а исправления для всех поддерживаемых продуктов будут выпущены в кратчайшие сроки.

Если ответ хотя бы на один из вопросов будет «нет», тогда компания отложит исправление уязвимости до выпуска новой версии ОС. В документе также описаны уровни опасности уязвимостей: «критический», «высокий», «средний», «низкий» и «нулевой». Компания будет исправлять только уязвимости уровня «критический» и «высокий».

https://www.securitylab.ru/news/493941.php

Таким образом, даже если вы установили все обновления, у вас могут быть уязвимости:

  • еще не известные ни вендору, ни хакерам;
  • еще не известные вендору, но известные хакерам;
  • которые вендор не хочет или не может исправить.

В качестве примера можно привести ОС Windows XP и 7. Уязвимости в них есть, но исправляют их крайне редко.

#уязвимость #эксплойт #Windows #безопасность

Dr.Web рекомендует

Ни система обновлений, ни сканеры уязвимостей не гарантируют отсутствие «дыр» в вашей системе. Поэтому нужно защищаться от них другими способами – ограничением прав пользователей, контролем запуска программ. И естественно, установкой антивируса, который нейтрализует попытки хакера использовать хоть известную, хоть неизвестную уязвимость.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: