Eelmise aasta lõpus väljastas Bit9 nimekirja 12 kõige haavatavama ja levinuma Windows platvormil kasutatava rakendusega. Nimelt vaadeldi, kui palju on populaarsetel rakendustel kriitilisi turvaprobleeme ning leiti neist suurima mõjuga rakendused. Kokkuvõtvalt on esitosin järgmine:
- Mozilla Firefox – 10 haavatavust
- Adobe Flash ja Adobe Acrobat – 5 ja 9 haavatavust
- EMC VMware Player, Workstation jt. – 10 haavatavust
- Sun Java Runtime Engine (JRE) – 10 haavatavust
- Apple Quicktime, Safari ja iTunes – 9, 3 ja 1 haavatavust
- Symantec Norton – 1 haavatavus
- Trend Micro OfficeScan – 4 haavatavust
- Citrix tooted – 4 haavatavust
- Augrima, Lycos (Uploader) – 3 haavatavust
- Skype – 3 haavatavust
- Yahoo! Assistant – 1 haavatavus
- Microsoft Windows Live Messenger – 1 haavatavus
Nimekirja ei kuulu tarkvara, mis suudab end ise ilma kasutaja sekkumiseta uuendada (nt. Windows Update vahendusel) või on administratiivsete vahenditega uuendatav/paigatav (nt. SMS või WSUS vahendusel). Nimekirja eesmärk on tõsta esile rakendused, mille suhtes administraatorid peaksid olema eriti valvel, et veenduda, et ettevõttes on kasutusel vaid viimased (lapitud) versioonid tarkvarast.
Samas peaks see nimekiri meenutama ka kodukasutajale, et tarkvara tuleb uuendada/paigata ja kindlasti tuleks veenduda, et nimekirjas olevad rakendused oleksid kindlasti värsked ja paigatud. Samuti tuleks üle kontrollida, et Automatic Updates (Windows Updates) regulaarselt Windows-i ja teiste Microsoft toodete paiku paigaldab.
Lähemalt võib aruande kohta lugeda siit. Aruandele pööras tähelepanu zdnet artikkel.
Eeee … aga kõige haavatavamad rakendused? St Internet Exploder ja Windows XP? Sellised kenad auklikud, igal kasutajal olemas ja täiesti ussidest puretud?
Mis asi on muide Symantec Norton? Norton Antivirus, Norton Security, Norton Partition Manager? Eeldades, et see Symantec Norton on mõni Symateci turvarakendus, siis selle ja Trend Micro sattumine nimekirja on nimekirja kõigesuuremad häbiplekid.
IE ja Win suudavad ennast Windows Update kaudu iseseisvalt uuendada ja seega nimekirja ei kuulu…?
Mozilla Firefox suudab enda samuti ise uuendada. Vali Tools menüüst Options, edasi Advanced, Update ja vali “Automatically download and install update”.
Acrobat tahtis mul samuti käia internetis uuendusi otsimas. Vahetasin ta Foxit readeri vastu välja ja olen rahul.
Tundub, et see nimekiri on küll kellegi tellimustööna valminud.
Siin ei saa igat sõna päris uskuda. Tegemist on firmadega, kes saavad raha IE kasutamisega või umbes nii..
IE on siiamaani ikka number 1 ebaturvaline veebilehitseja. (java, direct-x jne)
Kui windowsi kasutaja kasutab pidevalt admin õigusi, siis on IE päris ebaturvaline ja pärast on juba hilja, et kui IE on uuendatud, keyloggerid või botnet’id ikka sees.
Firefoxis aitab adblock plus kasutamine või javascriptide väljalülitamine.
adobe flashi asemel on mozilla teinud uue versiooni, kus kasutaja peab flashi jooksmist ise käivitama- aga on olemas ka flashblock firefoxile tehtud.
Firefox ei suuda end ise automaatselt uuendada. Firefox uuendamiseks peab kasutaja Firefox või Firefox Updater-i ise käima panema ja mõningal juhul ka administraatori kontoandmed sisestama. Sama käib Adobe kohta. See on oluline aspekt ettevõtetes kus administreerimistegevusi tehakse tsentraalselt mitte iga arvuti juures eraldi (tavakasutajal ei ole administraatori kontoandmeid et ta saaks Firefox või Adobe rakendusi ise uuendada). Seega on vaadeldavate rakenduste selline valik õigustatud ning olukorras, kus arvuti põhiline kasutaja ei ole selle arvuti administraator, on just nimekirjas toodud rakendused kõige ohtlikumad.
Täiesti hästi saab linuxi distributsioonidel lubada automaatselt firefoxi uuendada. Firefoxi ja kogu distributsiooni sisu saab kasvõi firma enda poolt tehtud repositooriumi kaudu uuendada.
See on isegi graafiliselt võimalik iga arvuti panna ilma admini režiimita uuendama- vastavalt firma poliitikale.
Seega on IE turvalisus suurem Firefoxi turvalisusest PÄRIS KÜSITAV.
Windowsis ju jah on vaja tavakasutaja reegleid õgvendada, et saaks firefoxi uuendada..
MSN prorgamm on viimasele kohale pandud? Mine nalja!
Firefox kui ka IE7 on java tarkvaraga täiesti auguline. Seega ID kaart on turvaline, kuid java on selle rakenduse osa- ja hiljem võid hoopis kuskil mujalt java kaudu midagi saada..
Skype- ei kasuta.