Введение нового стандарта уязвимостей грозит опасностями
Новости Безопасность
С января 2015 года MITRE переходит на новый формат CVE-ID, позволяющий использовать пять и более цифр, сообщает «Лаборатория Касперского». Действующие с 1999 года четырехциферные идентификаторы уходят в историю, так как перестали отвечать современным нуждам.
CVE (Common Vulnerabilities and Exposures) — это общепринятый стандарт именования уязвимостей, присутствующих в коммерческих и open-source программных продуктах. Исследователи используют эти понятные всем идентификаторы как рефереры, вендоры вставляют их в свои информационные бюллетени, другие выпускают продукты, ориентированные на четырехзначный формат, который, казалось, будет вечным, поскольку при его принятии считалось, что больше 9999 уязвимостей в год не может быть обнаружено.
Однако, по мнению экспертов, в этом-то и кроется самая главная проблема: введение нового формата сведет на нет все усилия по управлению уязвимостями. «В некоторых случаях, если инструмент принимает лишь значения из четырех цифр, он может прекратить работу при вводе идентификатора, нарушающего это условие, — поясняет ведущий ИБ-специалист MITRE и редактор CVE List Стив Коули (Steve Christey Coley). — Пятизначный идентификатор на входе может привести к отказу, так как будет воспринят как некорректный».
В итоге заметно возрастет число крэшей, однако можно ожидать и менее катастрофические отказы. Так, например, инструменты управления уязвимостями могут досрочно завершить процесс, обработав четыре цифры, и указать на совсем иную уязвимость. «Пользователи в таком случае могут недооценить серьезность ситуации и проигнорировать предупреждение», — отмечает Коули, добавляя, что некоторые программы, выделяющие память лишь для четырехзначных идентификаторов, могут инициировать переполнение буфера.
По этой причине бизнес-структурам придется уповать на оперативность вендоров, которые заранее должны озаботиться поддержкой нового синтаксиса. В настоящее время о своей готовности к нововведению заявили 19 организаций, в том числе Microsoft, Adobe, IBM, Oracle, NIST, CERT/CC, ICS-CERT и Symantec. Тем не менее, сотни вендоров пока к этому не готовы, не говоря уже о тех предприятиях, которые используют собственные разработки, ориентированные на упраздняемый CVE-синтаксис.
15.04.2025 16:27
«Яндекс» представил умную IP-камеру
«Яндекс» представил свое первое устройство в категории безопасности — умную IP-камеру, которая поможет контролировать безопасность дома
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
