Уязвимые программы

Компания Bit9 опросила ряд влиятельных американских исследователей в области IT, которые указали самые с их точки зрения уязвимые компьютерные приложения, которые нельзя считать безопасносными и которые могут нанести вред компьютеру или открыть доступ к машине хакеру. При этом в список наиболее опасных популярных программ попали те, в которых содержится по меньшей мере одна критическая уязвимость.
В итоге золото взял браузер Firefox версии 1.0.7, в котором обнаружено пять серьезных брешей, среди которых переполнение буфера, возможность запускать исполняемый код и ошибки в хранении временных файлов.

Второе место поделили iTunes 6.02 и QuickTime 7.0.3. Причем первая программа дает хакерам возможность получить доступ к удаленному компьютеру за счет переполнения буфера видео и музыкой. В целом бреши в безопасности приложений напоминают «заслуги» лидера – браузера Firefox.

Первую тройку замыкает Skype 1.4. За ним следует Adobe Acrobat Reader 7.02, 6.0. Самая популярная программа для просмотра PDF-файлов содержит неклассифицированную ошибку, которой может воспользоваться злоумышленник для взлома системы.

В списке также присутствует Macromedia Flash 7, содержащая дыру в файлах флеш-анимации SWF. Далее идут интернет-пейджеры AOL, MSN и Yahoo. Все они грешат одним и тем же – возможностью переполнения буфера, как за счет текста, так и за счет посылаемых графических файлов.

Там же оказалась система DRM-защиты дисков Sony BMG от First4Internet, содержащая руткит, и патч-деинсталлятор к ней. Рейтинг замыкают клиент для пиринговых сетей Kazaa (версия 2.0.2), Real Player 10 и ICQ 2003a. Последняя программа для обмена мгновенными сообщениями содержит совсем уж смешные уязвимости – из-за неправильно заполненного поля «E-mail» или «криво» прикрепленной к аккаунту картинки пользователя хакер может взломать компьютер и получить над ним полный контроль.
В итоге золото взял браузер Firefox версии 1.0.7, в котором обнаружено пять серьезных брешей
Как видно, Firefox, в котором на момент исследований было выявлено более пяти уязвимостей, удостоился «почетного» первого места. Как отмечают представители американской компании, для одиннадцати из пятнадцати программ своевременно выпущены заплатки и обновления, за исключением Yahoo Instant Messenger, Sony, Kazaa и ICQ. Впрочем, для некоторых из них, в частности для ICQ, доступны бесплатные новые версии, которые решают проблемы старых приложений.

Заметим, что в этот список попали те продукты, которые считаются популярными у пользователей, содержат по крайней мере одну критическую уязвимость и обновления к которым возможно сделать без помощи специалистов в области компьютерных технологий. Правда, по каким критериям определялась, например, популярность программ, не уточняется.

Все отмеченные программы не приветствуются IT-отделами компаний, но именно их пользователи устанавливают на свои рабочие компьютеры. По мнению сотрудников Bit9, такие «домашние» программы представляют одну из серьезных угроз для корпоративных систем.

Напомним, некоторое время назад авторитетный журнал PC World составил свой рейтинг худших IT-решений, однако в него попали также и аппаратные разработки. Среди приложений лидером стал сервис крупнейшего американского интернет-провайдера America Online ( AOL ).

В пятерку антилидеров также вошел проигрыватель медиафайлов от RealNetworks – RealPlayer. При попытке им воспользоваться пользователь во многих случаях рискует получить следующее сообщение: «Для того чтобы отобразить эту часть сайта, вам необходимо скачать дополнительную программу. Извините, необходимый кодек не был найден. Пожалуйста, перезагрузите компьютер».

Авторы списка не обошли вниманием и разошедшуюся тиражом в 700 тыс. экземпляров программу Syncronys SoftRAM, чья задача состояла всего лишь в увеличении размера файла подкачки Windows. Стоила она при этом 30 долларов. Кроме того, в антирейтинг попала операционная система Microsoft Windows Millennium, хуже которой, по мнению исследователей, лишь Windows 2.0.