Már jó ideje megfigyelhető az a tendencia, mely szerint a számítógépes bűnözők az operációs rendszerek sebezhetőségei mellett egyre gyakrabban használják ki a különféle alkalmazásokban meglévő, és be nem foltozott biztonsági réseket. Ebből a szempontból mindenképpen rossz híreket közöl az a felmérés, amelyet a SANS, a TippingPoint és a Qualys közös munkával készített el. A szakemberek e vizsgálódásuk során arra voltak kíváncsiak, hogy a vállalatok mekkora figyelmet fordítanak a szoftveres sérülékenységek megszüntetésére, valamint azok korszerű és nem utolsó sorban gyors kezelésére. Az eredmények nem túl biztatóak.
A "The Top Cyber Security Risks" címet viselő összeállítás egy márciustól augusztusig tartó vizsgálódás alapján készült hatezer olyan szervezet bevonásával, amelyek használják a TippingPoint behatolásmegelőző rendszereit. Emellett a Qualys is szolgáltatott töménytelen mennyiségű - sérülékenység-vizsgálatokra alapozott - statisztikai adatokat. Ezek összegzése és kiértékelése után nyilvánvalóvá vált, hogy sok esetben a vállalatoknál nem történnek meg időben a frissítések.
A SANS szerint a vizsgált rendszerek esetében a Microsoft Windows operációs rendszerek 80 százalékának frissítése 60 napon belül megvalósul. Ezzel szemben az alkalmazások hibajavítása kapcsán mindössze negyven százalékot tesz ki ez az arány. Ennek megfelelően meglehetősen rossz a helyzet például a széles körben használt Office szoftverek valamint egyes Adobe programok patch-elését illetően. A szakemberek szerint az elmúlt hónapokban a támadók előszeretettel használták ki a Word, az Apple QuickTime valamint a Sun Java sebezhetőségeit is.
A felmérésből - elsősorban a TippingPoint statisztikáit figyelembe véve - az is kiderült, hogy a vizsgált időszakban a támadások több mint 60 százaléka webes alkalmazások vagy weboldalak ellen irányult, gyakran azzal a céllal, hogy megbízható és ártalmatlan weblapokat sikerüljön kártékony célokra felhasználni. A támadási módszerek közül az SQL injection alapú valamint az XSS (cross-site scripting) technikák járultak hozzá a legtöbb biztonsági problémához és kárhoz.
A hír a Computerworld Biztonság rovatában jelent meg.
