В 50% библиотек для разработки ПО нашли уязвимости

В каждой второй из популярных библиотек для разработки программного обеспечения с открытым кодом были найдены уязвимость в какой-либо из их версий. Об этом пишут «Известия» со ссылкой на экспертов. 

«Для обычного пользователя опасность заключается в том, что уязвимости могут быть использованы для кражи данных, финансов, заражения устройств вредоносным ПО или других форм атак. Например, если приложение на смартфоне использует уязвимую библиотеку, злоумышленники могут использовать ее и получить полный контроль над данными пользователя», – объяснил эксперт направления анализа защищенности Infosecurity Олег Уланов. 

Отмечается, что с помощью уязвимостей злоумышленники могут через разработчиков атаковать инфраструктуру компаний. По словам Уланова, это может привести к полной компрометации данных пользователей, нарушением бизнес-процессов.

Кроме того, если злоумышленники воспользуются уязвимостями, то это может привести к репутационным потерям, которые негативно повлияют на финансовое состояние компании. 

Руководитель направления развития сообществ ИБ PositiveTechnologies Антон Кутепов рассказал, что применение хакерами таких уязвимостей в своих атаках может создать как незначительные, так и крайне серьезные последствия, такие как утечка данных. В случае обнаружения уязвимости самое главное – быстро обновить используемую версию, добавил эксперт. 

Так, Купетов напомнил, что Microsoft наладила механизм оперативного устранения таких проблем и имеет программу поощрения исследователей, которые сообщают вендору о найденных уязвимостях. По данным «Лаборатории Касперского», на данный момент известно более чем о 12 тыс. уязвимых решений с открытым исходным кодом. 

Важно проводить аудит применяемых решений, добавил Олег Уланов из Infosecurity, проверка кода сторонних и собственных библиотек на безопасность помогает заранее определить слабые места, которые могут быть устранены до начала использования. Для этого надо привлечь сторонних специалистов по анализу защищенности, которые сделают отчет с рекомендациями, рассказал эксперт. Помимо этого, важно постоянно отслеживать уязвимости в используемых библиотеках и их обновление, добавил он. 

Ранее российские специалисты из Positive Technologies обнаружили 100 уязвимостей нулевого дня (таких, о которых неизвестно самим разработчикам) в проектах отечественных и зарубежных разработчиков. Отмечается, что в 2024 году число уязвимостей нулевого дня в российском софте увеличилось на 39% по сравнению с аналогичным периодом в 2023 году.