Comentarios de lectores/as

[H1]Уязвимости операционной системы[/H1]

Richelle Reno (2018-11-04)

 |  Enviar respuesta

[TITLE]Уязвимости операционной системы[/TITLE] [KEYWORDS]Уязвимости Unix[/KEYWORDS] [DESCRIPTION]Уязвимости операционной системы , уязвимость (англ.  vulnerability ) — в компьютерной безопасности термин используется для обозначения недостатка в системе, используя который, можно[/DESCRIPTION]

Уязвимости операционной системы, уязвимость (англ.

  vulnerability ) — в компьютерной безопасности термин используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу.

Уязвимость может быть результатом ошибок программирования, недостатков, searchmechaniks допущенных при проектировании системы, ненадёжных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций.

Некоторые уязвимости известны только теоретически, http://proline.physics.iisc.ernet.in/wiki/index.php?title=What_Everybody_Else_Does_When_It_Comes_To_%D0%9F%D1%80%D0%BE%D0%B2%D0%B5%D1%80%D0%BA%D0%B0_%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0_%D0%E2%80%99%D0%B0%D0%B6%D0%BD%D1%8B%D0%B9_%D0%AD%D0%BB%D0%B5%D0%BC%D0%B5%D0%BD%D1%82_%D0%A2%D0%B5%D1%81%D1%82%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F_%D0%97%D0%B0%D1%89%D0%B8%D1%82%D1%8B_And_What_You_Should_Do_Different другие же активно используются и имеют известные эксплойты.

Обычно уязвимость позволяет атакующему «обмануть» операционную систему — заставить её совершить действие, на которое нет прав.

Это делается путём внедрения каким-либо образом в модули данных или кода в такие места, что операционная система воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, XSS).

Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).

Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности.

Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем.

Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения патчей, но также могут и увеличивать риск для тех, кто не посвящён в детали.

Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе.

Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в системе, они не могут заменить участие человека в их оценке.

Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам.

Уязвимости обнаруживались во всех основных операционных системах, включая Microsoft Windows, Mac OS, различные варианты UNIX (в том числе GNU/Linux) и OpenVMS. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность.

Распространённые типы уязвимостей включают в себя:

Наиболее распространённая в настоящее время на подключенных к интернету компьютерах операционная система Microsoft Windows содержит множественные опасные уязвимости. Чаще всего хакерами используются уязвимости в IIS, MS SQL и Internet Explorer, а также системах обработки файлов и сервисах сообщений самой операционной системы.

Уязвимость в IIS, подробно описанная в Microsoft Security Bulletin MS01-033, является одной из наиболее часто используемых уязвимостей Windows. В последние годы было написано множество сетевых червей, пользующихся данной уязвимостью, но одним из наиболее известных является CodeRed. CodeRed был впервые обнаружен 17 июля 2001 года, и, по некоторым оценкам, заразил около 300 тысяч компьютеров, помешал работе множества предприятий и нанёс значительный финансовый ущерб компаниям по всему миру.



Añadir comentario



ISSN: 19915837