Pull to refresh
281
105.6

Пользователь

Send message
О да, рассылка Cisco Security Advisory это одновременно повод повеселится и погрустить.
Хорошей практикой было бы уведомлять своих клиентов чуть раньше чем интернет-общественность. Но тут, конечно, много проблем, не до каждого дозвонишься :) image
Это, несомненно, баг, но в данном случае для статистики уязвимостей мы брали исключительно публично заявленные и имеющие CVE идентификатор
Согласен, а блокировку на n времени после m неудачных попыток обычно относят к device hardening, иначе говоря “грамотная и безопасная настройка”
С вашим комментарием не поспоришь, +1
Кволис, к сожалению, сейчас проверяет не «дырявость» плагинов, а наличие новых версий. Другими словами фактически является не сканером уязвимостей, а информатором об обновлениях. Если SurfPatrol не находит уязвимостей, то он не навязывает обновление.
Пока мы еще начинаем работу над автоматическим способом обновлением плагинов.
Напишите в службу поддержки
Специалисты посмотрят что там как
Информация обновляется ежедневно. Используется и автоматическое добавление и добавление оператором вручную.
Поддержка Linux будет добавлена чуть позже ;)
И список поддерживаемых плагинов увеличим
Приносим свои извинения за неточность, допущенную при публикации. После подробного изучения проблемы выяснилось, что в таблицу не попали данные об уязвимостях в Google Chrome 15.x, поэтому данные в таблице не соответствовали данным на графике. Мы добавили данные об уязвимостях в Google Chrome 15.x в таблицу.
Благодарим, что обратили внимание на недостоверность данных и сообщили нам об этом
Так как это отчет за год и в нем содержится информация по уязвимостям, опубликованным в 2011 году. 1-я версия браузера не поддерживалась уже в 2011 году, поэтому данных об уязвимостях в этой версии в нашем отчете нет.
В Linux считались уязвимости только в ядре ОС, т.е. никакого стороннего софта и диcтрибутивов
Мы публикуем статистику по найденным уязвимостям. Если производитель осуществляет поддержку различных версий браузеров, то нужно считать уязвимости в этих браузерах. Автор комментария предлагает считать уязвимости только в актуальной версии барузера. На момент публикации уязвимостей, версия браузера, которая содержала уязвимости, была актуальной.
Дополнение.
kyprizel опубликовал экплойты для многих заданий. Наслаждайтесь. t.co/LTCsDf3x
Полная версия исследования доступна здесь: www.ptsecurity.ru/analytics.asp
Большое спасибо за обратную связь, вопросы и комментарии.

Более детальную информацию об исследовании можно получить по следующей ссылке.

К сожалению, мы не можем опубликовать полную информацию в настоящий момент, поскольку несколько вендоров пока все еще устраняют обнаруженные недочеты.

В некоторых случаях это потребует изменения процедуры восстановления пароля и регламентов службы технической поддержки. Естественно, такие вещи быстро не делаются. Компания Positive Techologies следует политике «ответственного разглашения» (responsible disclosure), что позволяет снизить негативные последствия для индустрии в такой щекотливой области как анализ защищенности и поиск 0-day. Ведь не секрет, что неаккуратное разглашение уязвимостей может привести даже к падению курсов акций компаний.

Что касается Google, то команда Positive Research оперативно связалась с secure@ и получила подтверждение, что работа над обнаруженной проблемой ведется в рамках тикета #865306964

После того как вендоры устранят уязвимости, мы опубликуем детальную информацию.

P.S.: В случае с Яндексом следует читать: «все пропало [для хакера]». Для него, милого.

Еще раз спасибо за комментарии,
команда Positive Research
12 ...
28

Information

Rating
Does not participate
Works in
Registered
Activity