Number
of Flaws Patched by Microsoft Increased in Last 5 Years: Tripwire
By
Eduard Kovacs on February 06, 2015
Bài
được đưa lên Internet ngày: 06/02/2015
Lời
người dịch: Phân tích của hãng an toàn thông tin Tripwire
đối với các chỗ bị tổn thương trong các phần mềm
của Microsoft đã chỉ ra rằng: “Microsoft đã bắt đầu
đóng
gói nhiều chỗ bị tổn thương hơn
(các CVE) cho mỗi bản tin an toàn”. “Các
CVE đại diện cho các chỗ bị tổn thương mà đã được
phát hiện, và trong trường hợp
của Microsoft (đối với các
chỗ bị tổn thương được các bản tin và Bản vá ngày
thứ Ba cung cấp), các chỗ bị tổn thương mà đã được
sửa”, Lane Thames, kỹ sư phát triển phần mềm ở
Tripwire, giải thích. “Vì thế,
số lượng các CVE ngày một
gia tăng (và các CVE cho từng bản tin) chỉ ra rằng
Microsoft đang sửa nhiều hơn và nhiều hơn các khiếm
khuyết/chỗ bị tổn thương theo từng đơn vị thời
gian”. Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu, 08/04/2014.
Tripwire
đã phân tích sự tiến hóa của các bản cập nhật an
toàn được Microsoft phát hành trong 5 năm qua. Hãng đã xác
định rằng trong khi số lượng các bản tin an toàn đã
giảm đi, thì số lượng các chỗ bị tổn thương được
sửa với từng bản tin đã tăng lên.
Theo
hãng an toàn này, Microsoft đã bắt đầu đóng
gói nhiều chỗ bị tổn thương hơn (các CVE) cho mỗi
bản tin an toàn.
“Các
CVE đại diện cho các chỗ bị tổn thương mà đã được
phát hiện, và trong trường hợp của Microsoft (đối với
các chỗ bị tổn thương được các bản tin và Bản vá
ngày thứ Ba cung cấp), các chỗ bị tổn thương mà đã
được sửa”, Lane Thames, kỹ sư phát triển phần mềm ở
Tripwire, giải thích. “Vì thế, số lượng các CVE ngày
một gia tăng (và các CVE cho từng bản tin) chỉ ra rằng
Microsoft đang sửa nhiều hơn và nhiều hơn các khiếm
khuyết/chỗ bị tổn thương theo từng đơn vị thời
gian”.
Sự
gia tăng số lượng các lỗ hổng an toàn được sửa có
thể là kết quả của kho mã gia tăng. Đối với các ứng
dụng mà vẫn còn được Microsoft hỗ trợ, thì kho mã
tiếp tục gia tăng, và khi số lượng các dòng mã tăng,
thì toàn bộ tỷ lệ lỗi cũng tăng, Thames nói.
Số
lượng các chỗ bị tổn thương có thể cũng gia tăng vì
độ chín của phần mềm. Số lượng các nhà nghiên cứu
về an toàn gia tăng với các công cụ tiên tiến trong kho
vũ khí của họ và sự hiểu biết gia tăng về cách mà
các giải pháp của Microsoft kế thừa mã từ giải pháp
này tới giải pháp khác dẫn tới nhiều hơn các chỗ bị
tổn thương được phát hiện ra.
Mặt
khác, Tripwire cảnh báo rằng trong khi các tin tặc mũ trắng
nhận diện được nhiều hơn chỗ bị tổn thương, thì
có khả năng là điều y hệt áp dụng được cho các tin
tặc mũ đen.
Trong
vòng 5 năm qua, số lượng các bản tin sống còn được
Microsoft phát hành đã giảm đi, đạt tới 28 trong năm
2014 - một kỷ lục thấp mới. Trong khi số lượng các
bản tin sống còn đã giảm xuống, thì số lượng các
bản tin của Internet Explorer đã tăng lên trong 5 năm qua,
Tripwire nói.
Phân
tích của hãng chỉ ra rằng gần một nửa các bản
tin an toàn được phát hành trong năm 2014 đã đề cập
tới các chỗ bị tổn thương mà có thể bị khai thác
đối với sự thực thi mã từ ở xa. Như đối với các
lỗi thực tế, hơn 3/4 các lỗi được vá vào năm ngoài
có thể dẫn tới sự thực thi mã từ ở xa.
Microsoft
dường như đã cắt công việc của nó ra khỏi năm nay.
Cho tới nay, Google đã phát hiện tổng cổng 3 chỗ
bị tổn thương trong Windows trước khi Microsoft có thể
sửa được chúng. Hơn nữa, một nhà nghiên cứu đã đưa
ra một sự chứng minh khái niệm cho một chỗ
bị tổn thương của Internet Explorer nghiêm trọng vào
tuần trước. Người khổng lồ phần mềm nói hãng đang
làm việc để giải quyết lỗi đó nhưng, theo nhà nghiên
cứu này, hãng đã được thông báo về sự hiện diện
của nó vào tháng 10.
Tripwire
has analyzed the evolution of the security updates released over the
past five years by Microsoft. The company determined that while the
number of security bulletins has decreased, the number of
vulnerabilities fixed with each bulletin has increased.
According
to the security firm, Microsoft has started packing
more vulnerabilities (CVEs) per security bulletin.
“CVEs
represent vulnerabilities that have been discovered, and in
Microsoft’s case (for the ones provided by the bulletins and Patch
Tuesday), vulnerabilities that have been fixed,” explained Lane
Thames, software development engineer at Tripwire. “So, the
increasing number of CVEs (and CVEs per bulletin) shows that
Microsoft is fixing more and more defects/vulnerabilities per unit
time.”
The
increase in the number of fixed security holes could be a result of
code base growth. For applications that are still supported by
Microsoft, the code base continues to grow, and as the number of
lines of code increases, so does the overall defect rate, Thames
said.
The
number of vulnerabilities might also be increasing because of the
software’s maturity. An increasing number of security researchers
with advanced tools in their arsenal and a growing understanding of
how Microsoft’s solutions inherit code from one another leads to
more discovered vulnerabilities.
On
the other hand, Tripwire warns that while white hat hackers identify
more vulnerabilities, it’s likely that the same applies to black
hats.
Over
the past five years, the number of critical bulletins released by
Microsoft has decreased, reaching 28 in 2014 -- a new record low.
While the number of critical bulletins has decreased, the number of
Internet Explorer bulletins has increased over the last five years,
Tripwire said.
The
company’s analysis
shows that close to half of the security bulletins released in 2014
covered vulnerabilities that could be exploited for remote code
execution. As for the actual flaws, over three quarters of the ones
patched last year could lead to remote code execution.
Microsoft
seems to have its work cut out this year. So far, Google disclosed a
total of three Windows
vulnerabilities before Microsoft could fix them. Furthermore, a
researcher released a proof-of-concept for a serious Internet
Explorer vulnerability last week. The software giant says it’s
working on addressing the bug but, according to the researcher, the
company was informed of its existence in October.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.