CERT- XMCO : La moitié des vulnérabilités publiée en 2010 toujours ignorée par les éditeurs
août 2010 par CERT-XMCO
* 2010 Mid-Year Trend and Risk Report
– Date : 26 Aout 2010
– Gravité : Moyenne
– Description :
L’équipe X-Force d’IBM vient de publier un rapport synthétisant les grands points importants dans le domaine de la sécurité durant la première partie de l’année en cours.
Au cours des six premiers mois de 2010, plus de 4000 failles de sécurité ont été recensées par l’équipe. Pas moins de 50 % de celles-ci sont toujours en attente de la publication d’un correctif par leurs éditeurs. Par ailleurs, le nombre de failles n’a jamais été aussi important. Les pirates utilisent de plus en plus régulièrement des techniques de couverture telles que l’obfuscation gênant le travail des professionnels de la sécurité. De plus en plus d’attaques web utilisent des scripts JavaScript obfusqués par exemple.
Les fichiers PDF sont toujours plus utilisés comme vecteurs d’infection. Néanmoins, Adobe est plutôt bon élève puisque seulement 3 % des vulnérabilités qui lui ont été décrites n’ont pas encore été corrigées. De son côté, Google prend la place de HP dans le top 10 du nombre de failles par vendeurs. Apple prend la première place de ce même classement, suivi de près par Microsoft.
Enfin, le botnet Zeus, et son kit de prise en main simplifiée évoluent toujours. Une version majeure notée 2.0 avait en effet été publiée au début de l’année.
Qu’en est-il du nombre de vulnérabilités découvertes par les pirates, les chercheurs ou bien même par les éditeurs... Aucun chiffre officiel ne peut être donné pour ces catégories, mais il est fort probable que ceux-ci soient aussi en forte augmentation...
– Référence :
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1085