Secunia signale une augmentation des vulnérabilités dangereuses

La société danoise spécialisée en sécurité de l’information Secunia a publié un rapport sur les produits les plus vulnérables pour la période allant de mai à juillet. Dans cette version, le navigateur Avant domine le Top 20 des produits comptant le plus de vulnérabilités, établi par les chercheurs. La tête du classement du plus grand nombre de produits vulnérables revient quant à elle à IBM. Secunia a également remarqué que le total de vulnérabilités découvertes en six mois en 1993 dans les logiciels est comparable aux chiffres obtenus pour la même période en 2013 (9 225 contre 9 560), mais la part de vulnérabilités qui ont reçu la qualification « extremely critical » (extrêmement critique) est passée de 0,3 à 0,5 %, tandis que la catégorie « highly critical » (fortement critique) est passée de 11,1 à 12,7 %.

Secunia propose des Top 20 mensuels établis suite à l’analyse de 50 000 applications pour la quatrième fois et fournit des commentaires pour certaines positions. Ainsi, la première position d’Avant en juillet au niveau du nombre de vulnérabilité s’explique pour deux raisons selon les experts. Tout d’abord, ce navigateur associe les mécanismes de visualisation de Google Chrome et Firefox et toutes les vulnérabilités de ces navigateurs se retrouvent dès lors dans Avant. Deuxièmement, les mises à jour d’Avant sont rares (quelques fois par an uniquement) et ses failles sont éliminées uniquement lorsque de nouvelles versions sont diffusées (la plus récente est sortie en juillet). Il est impossible de savoir si ce navigateur bénéficie des correctifs publiés pour Chrome et Firefox car Avant est très avare sur les informations à ce sujet. C’est la raison pour laquelle Secunia préfère envisager le pire des scénarios.

Des vulnérabilités très dangereuses ont été également découvertes en juillet dernier dans Stagefright, le lecteur de médias natif pour Android. Elles sont assez simples à exploiter et ne requièrent pas l’intervention des utilisateurs : l’attaquant doit simplement envoyer un MMS malveillant à la victime potentielle. Il obtient ainsi un accès à distance au périphérique Android et peut consulter les données qu’il contient ou les voler. Les experts de Secunia indiquent dans leur rapport que Google a très vite publié des correctifs pour les versions vulnérables du système d’exploitation, mais en raison de la nature ouverte de l’écosystème d’Android, ces correctifs vont prendre de nombreux détours avant d’arriver chez les utilisateurs, s’ils arrivent.

Au cours de cette période de 3 mois, Secunia a comptabilisé 2 211 vulnérabilités dans son Top 20 : 206 pour Avant, 140 dans le module de gestion système IBM Flex System Manager (FSM) et 91 dans Mac OS X. Notons que les systèmes d’exploitation Oracle Solari, IBM i5/OS et F5 TMOS font leur entrée dans le Top 20. Les chercheurs rappellent que la composition des listes mensuelles change en permanence et que pour cette raison, les utilisateurs ne doivent pas dormir sur leur laurier et installer uniquement les correctifs pour les logiciels d’éditeurs connus.

L’intégralité du nouveau rapport de Secunia est accessible sur le site de la société (inscription requise). Le Top 20 du mois de juillet figure sur Softpedia.com dans l’article consacré au sujet.

Source: Secunia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *