Хорошей практикой было бы уведомлять своих клиентов чуть раньше чем интернет-общественность. Но тут, конечно, много проблем, не до каждого дозвонишься :)
Кволис, к сожалению, сейчас проверяет не «дырявость» плагинов, а наличие новых версий. Другими словами фактически является не сканером уязвимостей, а информатором об обновлениях. Если SurfPatrol не находит уязвимостей, то он не навязывает обновление.
Приносим свои извинения за неточность, допущенную при публикации. После подробного изучения проблемы выяснилось, что в таблицу не попали данные об уязвимостях в Google Chrome 15.x, поэтому данные в таблице не соответствовали данным на графике. Мы добавили данные об уязвимостях в Google Chrome 15.x в таблицу.
Благодарим, что обратили внимание на недостоверность данных и сообщили нам об этом
Так как это отчет за год и в нем содержится информация по уязвимостям, опубликованным в 2011 году. 1-я версия браузера не поддерживалась уже в 2011 году, поэтому данных об уязвимостях в этой версии в нашем отчете нет.
Мы публикуем статистику по найденным уязвимостям. Если производитель осуществляет поддержку различных версий браузеров, то нужно считать уязвимости в этих браузерах. Автор комментария предлагает считать уязвимости только в актуальной версии барузера. На момент публикации уязвимостей, версия браузера, которая содержала уязвимости, была актуальной.
Большое спасибо за обратную связь, вопросы и комментарии.
Более детальную информацию об исследовании можно получить по следующей ссылке.
К сожалению, мы не можем опубликовать полную информацию в настоящий момент, поскольку несколько вендоров пока все еще устраняют обнаруженные недочеты.
В некоторых случаях это потребует изменения процедуры восстановления пароля и регламентов службы технической поддержки. Естественно, такие вещи быстро не делаются. Компания Positive Techologies следует политике «ответственного разглашения» (responsible disclosure), что позволяет снизить негативные последствия для индустрии в такой щекотливой области как анализ защищенности и поиск 0-day. Ведь не секрет, что неаккуратное разглашение уязвимостей может привести даже к падению курсов акций компаний.
Что касается Google, то команда Positive Research оперативно связалась с secure@ и получила подтверждение, что работа над обнаруженной проблемой ведется в рамках тикета #865306964
После того как вендоры устранят уязвимости, мы опубликуем детальную информацию.
P.S.: В случае с Яндексом следует читать: «все пропало [для хакера]». Для него, милого.
Еще раз спасибо за комментарии,
команда Positive Research
Специалисты посмотрят что там как
И список поддерживаемых плагинов увеличим
Благодарим, что обратили внимание на недостоверность данных и сообщили нам об этом
kyprizel опубликовал экплойты для многих заданий. Наслаждайтесь. t.co/LTCsDf3x
Более детальную информацию об исследовании можно получить по следующей ссылке.
К сожалению, мы не можем опубликовать полную информацию в настоящий момент, поскольку несколько вендоров пока все еще устраняют обнаруженные недочеты.
В некоторых случаях это потребует изменения процедуры восстановления пароля и регламентов службы технической поддержки. Естественно, такие вещи быстро не делаются. Компания Positive Techologies следует политике «ответственного разглашения» (responsible disclosure), что позволяет снизить негативные последствия для индустрии в такой щекотливой области как анализ защищенности и поиск 0-day. Ведь не секрет, что неаккуратное разглашение уязвимостей может привести даже к падению курсов акций компаний.
Что касается Google, то команда Positive Research оперативно связалась с secure@ и получила подтверждение, что работа над обнаруженной проблемой ведется в рамках тикета #865306964
После того как вендоры устранят уязвимости, мы опубликуем детальную информацию.
P.S.: В случае с Яндексом следует читать: «все пропало [для хакера]». Для него, милого.
Еще раз спасибо за комментарии,
команда Positive Research