Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Wolfgang Kandek, Qualys : le TOP 10 des vulnérabilités

mars 2015 par Wolfgang Kandek, CTO, Qualys Inc.

Nous avons finalisé notre analyse des 10 vulnérabilités les plus fréquentes au cours des trois derniers mois (novembre, décembre 2014 et janvier 2015). Nous procédons à cette analyse de manière périodique pour donner au marché un aperçu de nos travaux de recherche avec Laws of Vulnerabilities, à savoir la fréquence des vulnérabilités.

N’hésitez pas à utiliser ces données pour enrichir votre propre pratique de la gestion des vulnérabilités. Il nous paraît opportun de s’intéresser aux vulnérabilités énumérées ci-dessous afin de voir comment vous vous positionnez.

Vulnérabilités externes

Voici la liste des vulnérabilités les plus détectées sur les réseaux externes, dont Heartbleed et d’autres failles relatives à SSL :

- OpenSSL Multiple Remote Security Vulnerabilities
- Cisco IOS Malformed IPV4 Packet Denial of Service Vulnerability
- Apache HTTP Server Multiple Cross-Site Scripting Vulnerabilities
- SSL Server Allows Anonymous Authentication Vulnerability
- OpenSSH Signal Handling Vulnerability
- Microsoft ASP.NET Denial of Service Vulnerability (KB2659883 and MS11-100)
- SSH Protocol Version 1 Supported
- Internet Information Services (IIS) Could Allow Elevation of Privilege (MS09-020)
- SSL Server Allows Cleartext Communication Vulnerability
- OpenSSL Memory Leak Vulnerability (Heartbleed Bug)

Vulnérabilités internes

Côté interne, le taux de renouvellement est beaucoup plus rapide, mais les catégories restent les mêmes. Internet Explorer, Adobe Flash et Reader, le système d’exploitation Windows et Microsoft Office restent en effet des sujets brûlants, ce qui indique que les correctifs sont plutôt destinés à des vulnérabilités plus anciennes. Java est reléguée un rang derrière, en raison de 2 cycles de patch majeurs déjà déployés depuis la version de juillet, ce qui indique que la plupart des déploiements remontent à 9 mois. Comme Java n’a heureusement été victime d’aucun exploit majeur au cours de l’année 2014, faire figurer cette plate-forme aux dernières places du classement revient à prendre un risque acceptable.

- Microsoft Internet Explorer Cumulative Security Update (MS15-009)
- Oracle Java SE Critical Patch Update - July 2014
- Adobe Flash Player and AIR Multiple Vulnerabilities (APSB14-24)
- Microsoft .Net Framework Elevation of Privilege Vulnerability (MS14-072)
- Microsoft Windows Network Location Awareness Service Security Bypass Vulnerability (MS15-005)
- Adobe Reader and Acrobat Multiple Vulnerabilities (APSB14-20)
- Microsoft Windows Application Compatibility Cache Elevation of Privilege Vulnerability (MS15-001)
- Microsoft Windows Components Directory Traversal Information Disclosure Vulnerability (MS15-004)
- Microsoft Windows Kerberos Elevation of Privilege Vulnerability (MS14-068)
- Microsoft Word and Office Web Apps Remote Code Execution Vulnerability (MS14-081)

Nous prévoyons d’examiner les vulnérabilités pour lesquelles il existe des exploits connus afin de vérifier si elles sont en cours de résolution de manière plus rapide.




Voir les articles précédents

    

Voir les articles suivants