Security Radar

Необновленное ПО

· Роман @deadroot Ананьев

Не все любят обновлять программное обеспечание, предпочитая привычный вид и функциональность. Иногда нежелание обновить ПО оправданно из-за его стоимости обновления, или времени установки. Например, обновление версии CMS, потом обновление модулей, потом еще что-то и что-то сломается – это все понятно. Тем не менее, многие игнорируют уведомления, откладывая апдейт “на завтра”, или просто оставляя как есть потому что не хочется возиться с этим.

А помощью обновлений разработчики кроме того, что добавляют новую функциональность еще и устраняют уязвимости ПО. И чем дольше ПО остается без обновлений, тем больше проблем в безопасности обнаруживают злоумышленники, что делает использование такого ПО очень опасным.

Да, вы можете сказать что-то вроде “Я смотрел чейнджлог1 – там нет ни слова про то, что разработчики исправили уязвимость какую-то” и будете правы, но только отчасти. Я лично участвовал в создании таких обновлениях, в которых даже не упоминались уязвимости чтобы не привлечь внимание исследователей к поиску уязвимости в конкретном обновлении (ведь проще искать елси что-то конкретное знаешь2). А иногда мы исправляли уязвимость в нескольких обновлениях подряд по-немногу чтобы еще сильнее запутать поиски уязвимостей в открытом коде.

Поэтому обновления нужны и ставить их нужно. Организация OWASP считает необновленное ПО уязвимостью “A06:2021 – Vulnerable and Outdated Components” 3. И вот что они сами говорят об этом

Эта категория заняла второе место в опросе сообщества Top 10, но также имела достаточно данных для попадания в Top 10 на основе данных. Уязвимые компоненты - это известная проблема, которую мы с трудом тестируем и оцениваем риск, и это единственная категория, в которой нет общих уязвимостей и экспозиций (CVE), сопоставленных с включенными CWE, поэтому по умолчанию используется вес эксплойтов/воздействия 5,0. Среди CWE можно отметить CWE-1104: Use of Unmaintained Third-Party Components и два CWE из Top 10 2013 и 2017 годов.

Так что обновляйте ПО, это правда важно и нужно. А уязвимостей находится множество https://www.cve.org/About/Metrics посмотрите сколько уязвимостей находится от года к году.

И еще столько же не опубликовано и держится в руках злоумышленников. Так что стоит обновить свое ПО ;)

  1. Список изменений и обновлений в версии ПО ↩︎

  2. Статья на хабре https://habr.com/ru/companies/bizone/articles/851072/ ↩︎

  3. Ссылка на подробное описание этого класса уязвимости https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/ ↩︎

#уязвимость #owasp a06:2021