Датские исследователи уязвимостей готовят к выпуску бесплатную мета-систему автоматического обновления, которая поможет держать в тонусе 70-80% приложений, функционирующих на платформе Windows конечного пользователя.
Proof-of-concept проект был выполнен на базе корпоративного сканера непропатченных уязвимостей Secunia Corporate Software Inspector (CSI), интегрированного с сервером обновлений Microsoft Windows Server Update Services (WSUS). В январе технология успешно прошла бета-тестирование и к концу года, как надеются ее авторы, будет реализована в бесплатной версии индивидуального сканера уязвимостей Secunia Personal Software Inspector (PSI). По словам разработчиков, в итоговой системе будет предусмотрена опция дифференцированного отключения функции автоматического обновления.
Идея унификации механизмов автообновления ПО давно витает в воздухе. Согласно результатам исследования [PDF 502 Кб], проведенного Secunia, безопасность пользовательских приложений находится в плачевном состоянии. Согласно статистике компании, половина домашних ПК под ОС Windows оснащены в среднем 66 программами от 22 разных вендоров. Чтобы надежно защищать свой компьютер, 90% пользователей должны ежегодно устанавливать 51-86 патчей, которые закрывают 200-342 уязвимости в программах 9-36 вендоров.
Это означает, что в среднем раз в пять дней один из многочисленных автоматов (сколько вендоров — столько и механизмов обновления) сигнализирует о наличии очередного патча, который следует установить. Даже самые отчаянные фанаты сетевой безопасности не способны уделять столько времени и внимания ликвидации брешей, и компьютер быстро превращается в удобную мишень для интернет-атак.
Несмотря на такое положение вещей, единого механизма обновления для всех штатных и сторонних программ пока на рынке нет. Secunia решила создать прецедент, и если ее попытка окажется успешной, а сторонние производители софта не будут препятствовать внедрению новой технологии, число жертв drive-by атак значительно сократится.
Secunia: латание дыр унифицировать реально