Сегодня 18 февраля 2018
18+
Теги → уязвимости
Быстрый переход

Intel многократно поднимает премии за найденные в продуктах уязвимости

Как и многие другие компании, чьи продукты пользуются огромным спросом, компания Intel также запустила в действие программу премирования за найденные в её продуктах уязвимости. Программа Bug Bounty стартовала 17 марта 2017 года и предусматривала максимальные суммы выплат за найденные «баги» в программном обеспечении (премия до $7500), в микрокоде прошивок (оплата до $10 000) и в «железе» — в процессорах, SSD, контроллерах, сетевых устройствах и другое — за что полагались премиальные в размере до $30 000 в зависимости от критичности найденной ошибки.

Отличительная особенность программы Bug Bounty компании Intel от других подобных программ заключалась в том, что она работала по приглашению. Просто так найти уязвимость и прийти с ней к специалистам Intel было нельзя. Но времена и ситуации меняются. В январе стало широко известно о найденных в архитектуре процессоров Intel (и других компаний) так называемых уязвимостей Meltdown и Spectre. Уязвимость Meltdown крылась в механизмах, связанных со спекулятивным выполнением команд, а уязвимости Spectre, которых пока описаны два варианта, работали по побочным каналам с атакой на кеш.

Против Meltdown эффективных приёмов не оказалось. Для закрытия этой уязвимости необходимо либо изменять архитектуру процессоров, либо с помощью заплаток уходить от отдельных операций, связанных со спекулятивным исполнением команд. Атаки с использованием Spectre реализуются сложнее и, теоретически, парируются с меньшим расходом ресурсов процессора. Беда только в том, что таких атак может быть множество и их ещё необходимо найти.

Компания Intel, как нетрудно догадаться, крайне заинтересована в поисках уязвимостей в процессорах и продуктах. Поэтому в компании приняли решение увеличить премию за найденные уязвимости с атакой по побочным каналам до максимальной суммы $250 тыс. Под атакой по побочным каналам следует также понимать любой другой вид атаки, открывающий доступ к чувствительным данным без атаки на объект, хранящий эти данные. Например, измерение потребления процессора или перехват клавиатуры, если речь идёт о простейшем классическом способе. Уточним, действие этой премиальной ставки закончится 31 декабря 2018 года.

Кроме особенной премии за найденные уязвимости с атакой по побочным каналам, Intel поднимает максимальную премию за прочие найденные уязвимости до $100 000 и делает программу Bug Bounty открытой для всех желающих специалистов. Главное, что бы соискателям было не меньше 18 лет, они или их родственники не работали в Intel или её филиалах (последние 6 месяцев) и не находились бы в санкционных списках США, а страна проживания не была бы под эмбарго США.

BlackBerry представила сервис для поиска уязвимостей в автомобильном ПО

BlackBerry анонсировала сервис под названием Jarvis, который позволит автопроизводителям тестировать загружаемый в автомобили код на наличие дыр безопасности. Для этого система использует технологию, известную как статический анализ кода. Благодаря ей производитель получает информацию, необходимую для отлова багов, прежде чем их сможет использовать злоумышленник во вред водителям и пассажирам.

Инструменты для обеспечения безопасности автомобилей обретают всё большую важность, поскольку транспортные средства становятся более автономными и сильнее привязываются к Интернету. Ранее хакерам удавалось получить доступ к различным функциям машин из-за уязвимостей кода.

Производители часто используют сотни разных программ, включая те, которые уже были собраны другими компаниями. Сервис BlackBerry позволяет проверять даже заранее укомплектованное ПО, разработанное кем-то другим, что должно обеспечить дополнительную безопасность.

Для BlackBerry сервис хорош тем, что она получила ещё одну возможность выбраться за пределы рынка смартфонов. Канадская компания уже работала в автоиндустрии — в 2010 году она купила QNX Software Systems, получив доступ к встраиваемой операционной системе QNX. К слову, последнюю можно интегрировать не только в автомобили, но и в системы «умного» дома и здравоохранения.

Jarvis будет распространяться по модели SaaS (программное обеспечение как услуга). Стоимость использования сервиса будет зависеть от того, сколько клиенту нужно проверить данных. Продукт полностью автоматизирован: BlackBerry надеется, что благодаря этому производители будут пользоваться сервисом чаще.

В будущем компания может вывести Jarvis за пределы авторынка. Статический анализ кода может быть полезен и в других отраслях, включая космонавтику, здравоохранение и оборону.

Intel обещает скоро решить проблему перезагрузок ПК после установки заплаток

После распространения информации об уязвимостях Meltdown и Spectre, характерных для современных процессоров, исполнительный директор Intel Брайан Кржанич (Brian Krzanich) опубликовал заявление, в котором пообещал максимальную прозрачность в деле информирования общественности о ходе решения проблемы. После того, как ряд пользователей обновили прошивки своих материнских плат, участились случаи сбоев и самопроизвольных перезагрузок систем.

Intel в курсе этой проблемы, и вице-президент подразделения клиентских ПК и мобильных платформ Навин Шеной (Navin Shenoy) опубликовал по этому случаю отдельное заявление. Компания сообщает, что проблема распространяется на пользовательские ПК и серверы, в основе которых лежат процессоры с архитектурой Intel Haswell/Broadwell.

Компания прикладывает все возможные усилия, чтобы поскорее понять, диагностировать и исправить возникшие затруднения. Если исправление ошибки потребует выпуска обновлённых прошивок от Intel, компания будет распространять их по обычным каналам. Intel также напрямую работает с клиентами в секторе центров обработки данных и серверов для скорейшего преодоления трудностей.

В том же обращении господин Шеной отметил, что конечным пользователям необходимо продолжить установку обновлений, рекомендованных разработчиками операционных систем и производителями компьютеров. Напомним: по словам Microsoft, заплатки против Meltdown и Spectre не должны принести особого снижения производительности на системах с процессорами Skylake и новее, а также с Windows 10.

Apple рассказала о заплатках для iOS, macOS и Safari в связи со Spectre и Meltdown

Затронувшая всю индустрию уязвимость современных процессоров, связанная со спекулятивным исполнением команд и названная именами Meltdown и Spectre, ожидаемо не обошла и Apple. Вслед за другими крупными компаниями купертинцы опубликовали особую страницу с информацией о своих действиях по обеспечению безопасности продуктов и платформ.

Прежде всего, яблочная компания признала, что затронуты в той или иной степени все компьютеры с macOS и аппараты на базе iOS. Впрочем, она также добавила, что пока не зарегистрированы зловреды, которые бы использовали эти методы атак на пользователей Apple. Также был дан совет скачивать программное обеспечение только из доверенных источников вроде App Store, потому что потенциальная атака требует наличия в системе приложения (впрочем, компания подтверждает, что возможны и атаки при помощи JavaScript при посещении вредоносных веб-ресурсов).

Apple подтвердила, что заплатки, призванные бороться с Meltdown, ею уже выпущены в декабрьских обновлениях iOS 11.2, macOS 10.13.2 и tvOS 11.2. Другими словами, уязвимость распространяется не только на процессоры Intel, но и на однокристальные системы самой Apple с архитектурой ARM (несмотря на то, что далеко не все ядра Cortex-A уязвимы). Часы Apple Watch не нуждаются в защите против Meltdown.

Внутренние тесты компании показали, что эти изменения не привели ко сколько-нибудь заметному снижению производительности macOS и iOS — по крайней мере, в тестовом пакете GeekBench 4, а также в популярных веб-бенчмарках вроде Speedometer, JetStream и ARES-6.

Кстати, компания обещает в ближайшие дни представить специальные обновления для браузера Safari, которые помогут в борьбе против Spectre. В данном случае внутренние проверки Apple показывали, что в тестах Speedometer и ARES-6 производительность Safari не снижается, а в JetStream падает лишь на 2,5 %. Так что в специфических задачах проседание производительности может быть и более существенным.

Apple обещает продолжать разработку и тестирование более совершенных и эффективных методов борьбы с уязвимостями и планирует выпустить их в будущих обновлениях платформ iOS, macOS, tvOS и watchOS. То есть часы Apple Watch подвержены потенциальным атакам методами Spectre, как и остальное оборудование купертинской компании.

База уязвимостей Microsoft была взломана в 2013 году

Более четырёх лет назад внутренняя база Microsoft с информацией по отслеживанию различных багов подверглась взлому хакеров. Компания узнала об утечке в 2013 году, однако публично о ней никогда не заявляла. Теперь пять бывших сотрудников рассказали о взломе новостному агентству Reuters.

Вся серьёзность ситуации заключается в том, что именно было взломано. Внутренняя база данных Microsoft содержит информацию о требующих исправления уязвимостях в широко используемом программном обеспечении компании. С этой информацией хакеры и правительственные организации могли бы получить подробные инструкции о том, как можно атаковать те или иные системы редмондского гиганта.

За несколько месяцев Microsoft удалось исправить уязвимости, информация о которых была похищена. Компания также проверила, не были ли тогда утёкшие данные использованы в других взломах. В итоге ей не удалось связать внутренний взлом с какой-либо внешней атакой.

По словам бывших сотрудников, с тех пор Microsoft уделяет безопасности внутренних систем гораздо больше внимания. Тем не менее, тот факт, что корпорация решила держать утечку в тайне, не показывает её с лучшей стороны. Такое решение можно объяснить — злоумышленники могли попытаться как можно быстрее использовать уязвимости, поскольку знали бы, что довольно скоро «дыры» будут залатаны. Но факт остаётся фактом: на протяжении нескольких месяцев системы по всему миру были гораздо более уязвимы к атакам, чем обычно. Если бы Microsoft публично заявила о взломе, то организации могли бы принять необходимые меры по обеспечению должного уровня безопасности.

Максимальное вознаграждение Google за нахождение уязвимостей в Android выросло до $200 тысяч

С момента запуска в 2010 году глобальной программы по поиску уязвимостей Google выплатила исследователям миллионы долларов. Теперь компания расширила программу Android Security Rewards, потому что за последние два года ни один человек не претендовал на получение высшей денежной награды за обнаружение серьёзной проблемы в мобильной операционной системе.

Отныне вознаграждение за обнаружение цепочки удалённых эксплойтов или эксплойтов, обеспечивающих доступ к TrustZone или Verified Boot, достигает $200 тысяч вместо прежних $50 тысяч. Тем, кто обнаружит баг удалённого исполнения кода ядра, теперь платят не $30 тысяч, а $150 тысяч.

Android Security Rewards была запущена два года назад, и Google выплатила в рамках программы более 1,5 миллионов долларов США. За второй год компания получила более 450 отчётов о реальных уязвимостях. Средняя сумма выплат выросла на 52,3 %.

Можно ожидать дальнейшего роста денежных наград, особенно если кто-то будет претендовать на одну из двух максимальных выплат. Судя по всему, Google надеется побудить исследователей уделять больше времени попыткам взломать операционную систему. В прошлом месяце компания сообщила, что число активных устройств на базе Android достигло двух миллиардов.

Программа поиска багов — отличное дополнение ко внутреннему тестированию операционной системы. Она мотивирует хакеров и экспертов в сфере IT-безопасности находить уязвимости и сообщать о них разработчикам, вместо того чтобы злонамеренно их использовать или продавать сторонним лицам.

Хакеры получили от соцсети «ВКонтакте» почти 150 тысяч долларов США

Компания Mail.Ru Group раскрыла размер выплат специалистам по вопросам компьютерной безопасности за найденные уязвимости в сервисах социальной сети «ВКонтакте».

Речь идёт о программе поиска «дыр» HackerOne. Суть заключается в том, что сторонние IT-специалисты и хакеры проверяют программные продукты или веб-ресурсы на предмет наличия уязвимостей. Разработчики в данном случае выплачивают вознаграждение за обнаруженные баги.

Сумма премий прямо пропорциональна серьёзности уязвимости, а минимальная награда составляет 100 долларов США. Выплата производится только первому исследователю, сообщившему об ошибке.

Итак, сообщается, что за два года участия в программе по поиску уязвимостей HackerOne социальная сеть «ВКонтакте» выплатила свыше 148 000 долларов 292 специалистам по информационной безопасности. Эти эксперты обнаружили технические уязвимости в сервисах компании и официальных мобильных приложениях.

Всего же с мая 2015 года «ВКонтакте» получила свыше 3000 отчётов. Из них 385 оказались полезными, а поэтому их авторы получили вознаграждение. Важно отметить, что хакеры, использующие найденные «дыры» против пользователей «ВКонтакте», автоматически получают отказ в выплате.

Более подробно об инициативе по поиску уязвимостей «ВКонтакте» можно узнать здесь. Кстати, в программе HackerOne также участвуют Adobe, Twitter, Uber, Snapchat, Dropbox и другие крупные компании. 

Раскрыта новая кибератака, использующая уязвимости «нулевого дня» в ПО Microsoft

Компания ESET сообщает о новой кибератаке, реализованной преступной группой Sednit, также известной как APT28, Fancy Bear и Sofacy.

Sednit действует как минимум с 2004 года. Именно этой группе приписывают атаки на Национальный комитет Демократической партии США, парламент Германии и французский телеканал TV5 Monde, а также взлом базы данных допингового агентства WADA.

В новой кибератаке хакеры используют эксплойты к уязвимостям «нулевого дня» в продуктах Microsoft. Внимание специалистов привлекла фишинговая рассылка с документом под названием Trump’s_Attack_on_Syria_English.docx во вложении. Это сообщение-приманка использует тему ракетного удара по Сирии, а вложение содержит копию соответствующей статьи о решении Дональда Трампа.

Собственно документ предназначен для загрузки вредоносной программы Seduploader — известного инструмента разведки из арсенала группы Sednit. С этой целью хакеры используют два эксплойта — к уязвимости удалённого выполнения кода в Microsoft Word (CVE-2017-0262) и к уязвимости локального повышения привилегий в Windows (CVE-2017-0263). Эти «дыры» уже закрыты корпорацией Microsoft, но, разумеется, большое количество владельцев компьютеров не загрузили патчи.

ESET отмечает, что кибергруппа Sednit не снижает активности и не меняет привычки — известные методы, повторное использование кода из других вредоносных программ и пр. Кроме того, хакеры продолжают дорабатывать инструментарий, добавляя новые встроенные функции, в частности, модуль для получения скриншотов. 

Microsoft устранила огромное количество уязвимостей в своих продуктах

Корпорация Microsoft выпустила одну из крупнейших порций патчей в своей истории: в общей сложности апдейты устраняют 135 уязвимостей в самых разнообразных программных продуктах и компонентах.

Опубликовано 18 бюллетеней безопасности, половина из которых содержат описание критически опасных «дыр». Такие уязвимости могут эксплуатироваться злоумышленниками с целью выполнения на удалённом компьютере произвольных операций, хищения конфиденциальной информации и пр. Ещё девять бюллетеней охарактеризованы «важными».

Уязвимости устранены в таких продуктах, как Windows, Internet Explorer, Microsoft Edge, Microsoft Office, Exchange, Skype for Business, Microsoft Lync и Silverlight. Один бюллетень целиком посвящён багам в Adobe Flash Player.

Важно отметить, что некоторые из «дыр», для которых выпущены патчи, уже используются злоумышленниками при проведении атак. Речь, в частности, идёт о нескольких уязвимостях в Microsoft Edge и Internet Explorer.

Столь большое количество апдейтов в марте отчасти объясняется тем, что Microsoft была вынуждена отменить выпуск патчей в феврале. Тогда в корпорации сообщили следующее: «В этом месяце, непосредственно перед выпуском обновлений, мы обнаружили потенциальную проблему, с которой могут столкнуться некоторые заказчики. К сожалению, данная проблема не может быть устранена до запланированного нами выпуска обновлений в феврале. После рассмотрения всех возможных вариантов мы решили отложить выпуск обновлений в этом месяце».

Более подробную информацию о мартовской порции «заплаток» можно найти здесь

Четыре из десяти уязвимостей Windows-систем приходится на браузеры

Компания ESET подвела итоги исследования распределения количества уязвимостей в различных приложениях и компонентах продуктов Microsoft.

Сообщается, что в общей сложности редмондский гигант устранил в прошлом году 518 уязвимостей в своём софте. Для сравнения: в 2015-м Microsoft закрыла 571 уязвимость.

Приблизительно треть выявленных в 2016 году «дыр» теоретически может использоваться злоумышленниками для удалённого исполнения вредоносного кода в атакуемой системе.

Примерно четыре из десяти уязвимостей приходится на браузеры. Так, в Internet Explorer в прошлом году обнаружено 109 уязвимостей, что в два раза меньше, чем в 2015 году. В новом Microsoft Edge, браузере по умолчанию в Windows 10, закрыто 111 уязвимостей. При этом важно отметить, что ни одна из «дыр» в Edge не использовалась в 2016-м в кибератаках до выхода закрывающих обновлений.

Компания ESET также выяснила, что количество закрытых уязвимостей в офисных приложениях Microsoft за год подскочило практически в три раза — с 24 до 68. Кроме того, примерно в четыре раза возросло число багов различных компонентов пользовательского режима Windows — 116 против 30 в 2015 году. 

Брешь в процессорах Skylake делает возможной атаку через USB 3.0

Современные процессоры и чипсеты — устройства чрезвычайно сложные. В процессе их проектирования, отладки и выпуска в серию ошибки неизбежны, но ошибка ошибке рознь: порой некоторые ошибки приводят к появлению уязвимостей, позволяющих захватить контроль над целой системой. Недаром технология Intel AMT, призванная упростить управление удалёнными системами, вызывает здоровый скептицизм у многих системных администраторов. Но то, что было обнаружено недавно специалистами из компании Positive Technologies, занимающейся вопросами компьютерной безопасности, существенно хуже. Как сообщает компания, некоторые процессоры Intel Skylake уязвимы до такой степени, что системы, в которых они установлены, могут быть взяты под полный контроль всего лишь с помощью интерфейса USB. Корни проблемы кроются в отладочном интерфейсе, предусмотренном Intel — он, по всей видимости, использовался в процессе «полировки» архитектуры Skylake перед её выпуском на рынок.

Хуже всего то, что отладчик Intel реализован на уровне ниже того, на котором оперирует обычное программное обеспечение, так что обнаружить сам факт вторжения не так-то легко; традиционные системы безопасности, работающие на обычном уровне, просто ничего не заметят. Содержится такой блок отладки лишь в некоторых процессорах Intel и доступен он через интерфейс USB 3.0. Специального оборудования для атаки не требуется, как выяснили специалисты Positive Technologies. Нужен лишь физический доступ к системе — по крайней мере, к её портам USB 3.0. На данный момент считается, что данная уязвимость свойственна только процессорам Skylake-U, то есть экономичным чипам, которые устанавливаются в ультрабуки и системы Intel NUC. Атакующий, получивший доступ к системе, может сделать с ней практически всё, что захочет, включая перезапись BIOS и доступ к любым данным. В отличие от всемирно известного червя Stuxnet, атака данного типа не зависит от типа установленной ОС, поскольку работает на более низком уровне; спастись отказом от Windows не получится. Российские специалисты Максим Горячий и Марк Ермолов рассказали о методах и способах такой атаки, а также мерах по её предотвращению на 33-м конгрессе Chaos Communications, который прошёл в Германии, в городе Гамбург.

Отладочный комплект ITP-XDP. В случае со Skylake-U не требуется

Отладочный комплект ITP-XDP. В случае со Skylake-U не требуется

Они отметили, что сам механизм изначально предназначался лишь для отладки процессоров и продемонстрировали возможную атаку с использованием интерфейса JTAG, который у описываемых процессоров доступен и по USB. В самом интерфейсе JTAG нет ничего нового и он давно используется производителями различного оборудования для отладки аппаратного обеспечения и наблюдения за функционированием ядра ОС, гипервизоров и драйверов. Процессоры Intel более ранних поколений для доступа к JTAG требовали использования специального устройства ITP-XDP, подключаемого к специальному порту на системной плате, но начиная со Skylake компания реализовала технологию DCI (Direct Connect Interface), позволяющую использовать JTAG через обычный интерфейс USB 3.0. Режим DCI должен быть включён, и это можно сделать несколькими путями (обычно требуется доступ к флеш-памяти, содержащей BIOS), а в ряде систем он включён по умолчанию. Была предсказана возможность новой волны атак типа Bad USB, но на этот раз гораздо более опасных. Меры защиты включают в себя использование технологии Intel BootGuard и запрета на включение режима DCI. В настоящее время сама Intel оповещена о наличии уязвимости в процессорах Skylake-U, остаётся ждать её официального ответа и соответствующих патчей.

Интенсивность кибератак в сегменте Интернета вещей в 2017 году возрастёт

Компания ESET обнародовала отчёт о тенденциях в сфере информационной безопасности, которые окажут влияние на киберпространство в 2017 году.

По мнению экспертов, злоумышленники продолжат активно атаковать пользователей мобильных устройств. Основной мишенью при этом будут оставаться владельцы Android-гаджетов. Так, если в 2015 году злоумышленники выпускали 200 новых вредоносных программ для Android каждый месяц, то в 2016-м их количество выросло до 300. В нынешнем году ежемесячное число новых Android-угроз прогнозируется на уровне 400.

Ожидается рост ущерба от киберугроз — программ-вымогателей, DDoS-атак и атак на устройства Интернета вещей. Более того, эксперты полагают, что в 2017-м могут появиться вымогатели нового типа, блокирующие «умные» устройства и требующие выкуп за восстановление доступа.

Специалисты ESET также считают, что в текущем году многие киберпреступники сосредоточат усилия на атаках на критическую инфраструктуру.

На этом фоне число уязвимостей популярных программных продуктов продолжит снижаться после рекорда 2014 года (7946). Так, в 2016 году зафиксировано 6435 «дыр». Но, как отмечают эксперты, эта статистика не даёт полной картины, поскольку доля критических уязвимостей растёт. 

Первая порция патчей Microsoft в 2017 году стала одной из самых небольших в истории

Microsoft выпустила первые в новом году обновления для своих программных продуктов: наблюдатели отмечают, что нынешняя порция патчей стала одной из самых небольших в истории редмондского гиганта.

Всего опубликовано четыре бюллетеня безопасности, но один из них затрагивает уязвимости в Adobe Flash Player при использовании на компьютерах с операционными системами Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 и Windows Server 2016.

Информация о багах в продуктах Microsoft сосредоточена в трёх бюллетенях. Один из них описывает уязвимость в браузере Edge, которая может использоваться для повышения уровня привилегий в системе. Для организации атаки злоумышленнику нужно заманить пользователя на сформированную особым образом веб-страницу.

Ещё одна брешь выявлена в пакете офисных программ Microsoft Office. Киберпреступники могут выполнить на удалённом компьютере произвольный программный код, вынудив жертву открыть специально созданный файл.

Наконец, последний из опубликованных бюллетеней содержит описание уязвимости типа «отказ в обслуживании» (Denial of Service) в операционных системах Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2.

Нужно отметить, что отныне информация об уязвимостях будет публиковаться корпорацией Microsoft не в традиционных бюллетенях, а на новом портале Security Updates Guide

Nintendo будет платить до $20 тыс. за обнаружение уязвимостей в 3DS

Nintendo анонсировала программу по поиску багов в своих устройствах из серии 3DS. Компания предлагает исследователям из сферы безопасности искать и сообщать ей об уязвимостях в карманной консоли и взамен получать денежные вознаграждения. Nintendo просит сообщать о тех проблемах, «которые могут поставить под угрозу окружение» 3DS. За обнаружение самых серьёзных критических уязвимостей в консоли будут платить до $20 тыс.

«Этими действиями Nintendo стремится создать лучший игровой опыт для всех», — заявила компания. С помощью программы по поиску багов она хочет избавиться от таких проблем, как, например, пиратство и модификация приложений с целью обмана игроков. Поэтому разработчики хотят знать о каждой уязвимости, которая может быть использована в таких целях. Среди них — уязвимости, позволяющие повышать пользовательские привилегии, получать контроль над ядром, использовать аппаратные баги для создания дешёвых копий Nintendo 3DS и находить ключи безопасности посредством утечки данных.

Минимальная награда за обнаружение уязвимости в карманной консоли — $100, а максимальная сумма, как уже было сказано выше, составляет $20 тыс. При регистрации уязвимости Nintendo просит указывать подробное описание обнаруженных проблем в системе безопасности 3DS и предоставлять программный код, доказывающий существование уязвимости.

При этом компания отметила, что на данный момент она заинтересована только в уязвимостях в 3DS и не будет обрабатывать информацию касательно багов в других устройствах и сервисах.

Три четверти российских пользователей работают с устаревшим ПО

«Лаборатория Касперского» выяснила, насколько актуальным с точки зрения безопасности является программное обеспечение, установленное на компьютерах российских пользователей.

Оказалось, что 77 % пользователей в нашей стране работают с устаревшим софтом. Причём на одном компьютере в среднем содержится семь приложений, которые требуют обновлений.

Именно продукты, требующие апдейта, зачастую становятся лазейкой для киберпреступников и вредоносного ПО. Наиболее активно с этой целью эксплуатируются уязвимости в браузерах и редакторах Microsoft Office. Так, в первом полугодии 2016 года на эти приложения в совокупности пришлось более 80 % «дыр».

«Лаборатория Касперского» также отмечает, что на компьютере каждого четвёртого пользователя в России имеются программы, о существовании которых он даже не подозревает. В среднем на одном ПК можно обнаружить два таких «сюрприза».

Кроме того, исследование показало, что приблизительно каждый третий пользователь в России просто забывает, какие программы содержатся на его устройстве.