Bit9 a publié son rapport annuel contenant La liste des applications les plus utilisées et les plus vulnérables de 2009, publiée pour les professionnels qui sont chargés de garantir la disponibilité et la sécurité du réseaux et des ordinateurs et en même temps traiter des comportements des utilisateurs qui téléchargent des logiciels vulnérables aux attaques malveillantes.
Cette année les applications d’Adobe sont en tête de liste avec quatre applications identifiées dans la base de vulnérabilités officielle de l’US National Institute of Standards et Technology (NIST). Adobe Acrobat, Flash Player, Reader et Shockwave avec des vulnérabilités classées comme «très critique», qui peuvent permettre à un attaquant distant d’exécuter du code arbitraire, corruption de la mémoire, déni de services ou crash de l’application.
La liste comprend d’autres applications vulnérables:
- Apple Quicktime
- Mozilla Firefox
- Opera
- RealPlayer
- Sun Java
- Trillian.
Les applications sur la liste répondent aux critères suivants:
- S’exécute sur Microsoft Windows
- Sont très utilisées et fréquemment téléchargées par des particuliers
- Ne sont pas classées comme applications malveillantes par les entreprises IT et les éditeurs de sécurité
- Contiennent au moins une vulnérabilité critique qui a été:
- découverte après le 1 er Janvier 2009,
- Enregistré dans la base de données officielle des vulnérabilités du NIST avec un indice de gravité CVSS élevé (entre 7.0-10.0).
- Ne peut pas être automatiquement mis à jour via des outils d’entreprise tels que Microsoft SMS et WSUS.
Dans la plupart des cas, les fournisseurs ont sortie des correctifs pour éliminer les vulnérabilités identifiées, mais l’entreprise cours toujours un risque parce que l’utilisateur final doit appliquer le patch lui même. Les entreprises et organismes gouvernementaux qui n’ont pas mis en place de contrôles ne sont pas capables de se protéger contre les attaques «zero-Days pour lesquelles aucun correctifs n’existent.
Cette étude démontre l’importance du contrôle des applications, gestion des correctifs automatiques et les audits de vulnérabilités. En combinant les efforts de sécurité et en adoptant une approche multidimensionnelle à la gestion des risques informatiques ont peux réduire considérablement les coûts associés à la perte de données,prolifération des codes malveillants et violations de conformité.
«Ces applications populaires sont fréquemment téléchargées sur des ordinateurs portables et ordinateurs de bureau par les utilisateurs et peuvent présenter des risques très importants pour la sécurité» «Nous constatons un nombre croissant d’applications dans l’entreprise qui crées des risques de sécurité et qui peuvent être évitées grâce à une meilleure visibilité sur l’ensemble des poste utilisateurs , gestion de patchs centralisé, mais aussi des processus de gestion de liste blanche afin d’empêcher l’utilisation de logiciels non autorisés et potentiellement destructeurs. a déclaré Tom Murphy, directeur de la stratégie, Bit9
y’as des trucs qui ont apparu pour javasun applications .
j’ai recemment vu quelques script qui forcent les gens a télécharger un trojan qui sois disant est le javascript .