लापरवाह आईटी पेशेवरों को गैर-Microsoft सॉफ़्टवेयर में सुरक्षा खामियाँ नज़र आ रही हैं

  • Nov 13, 2023

सिकुनिया की रिपोर्ट है कि पिछले साल 50 सबसे लोकप्रिय कार्यक्रमों में पाई गई कमजोरियों में से केवल 14 प्रतिशत माइक्रोसॉफ्ट उत्पादों में थीं जबकि 86 प्रतिशत तीसरे पक्ष के सॉफ्टवेयर में थीं। उसका मानना ​​है कि आईटी पेशेवरों को उन्हें ठीक करने के लिए और अधिक प्रयास करना चाहिए... और वह मदद के लिए उत्पाद बेचता है

सिकुनिया का नवीनतम भेद्यता समीक्षा 2013 (पीडीएफ) रिपोर्ट है कि 2012 में 50 सबसे लोकप्रिय कार्यक्रमों में पाई गई 86 प्रतिशत कमजोरियाँ गैर-Microsoft कार्यक्रमों में थीं।

सिकुनिया--MM00581LOGO (200 x 77)

"फिर भी, हर जगह आईटी पेशेवर माइक्रोसॉफ्ट प्रोग्राम, ऑपरेटिंग सिस्टम और कुछ अन्य प्रोग्रामों को पैच करने पर ध्यान केंद्रित करने के इच्छुक हैं।" सिकुनिया कहते हैं. "गैर-Microsoft प्रोग्रामों में कमज़ोरियाँ उत्पन्न होने वाले ख़तरे को नज़रअंदाज करना लापरवाही और अनावश्यक दोनों है।"

न केवल तृतीय-पक्ष सॉफ़्टवेयर आपूर्तिकर्ता अधिकांश सुरक्षा कमज़ोरियों के लिए ज़िम्मेदार हैं, बल्कि वे बढ़ती हिस्सेदारी के लिए भी ज़िम्मेदार हैं। 2012 में माइक्रोसॉफ्ट प्रोग्राम और विंडोज ऑपरेटिंग सिस्टम में पाई गई 14 प्रतिशत कमजोरियां 2011 में पाई गई 22 प्रतिशत की तुलना में एक नाटकीय सुधार है। 2007 में यह संख्या 43 प्रतिशत तक थी।

शीर्ष 50 सबसे लोकप्रिय कार्यक्रमों में 29 माइक्रोसॉफ्ट प्रोग्राम और 21 तृतीय-पक्ष प्रोग्राम शामिल थे, जिससे माइक्रोसॉफ्ट को विचाराधीन सॉफ्टवेयर का 58 प्रतिशत हिस्सा मिला। कमजोरियों में माइक्रोसॉफ्ट की 14 प्रतिशत हिस्सेदारी ऑपरेटिंग सिस्टम में पाई गई 5.5 प्रतिशत और अन्य माइक्रोसॉफ्ट प्रोग्रामों में पाई गई 8.5 प्रतिशत से बनी थी।

21 तृतीय-पक्ष कार्यक्रमों में से, आठ विक्रेताओं के 18 उत्पादों में 1,137 कमजोरियाँ पाई गईं।

अधिकांश कमजोरियाँ सामान्य संदिग्धों: Apple और Adobe के वेब ब्राउज़र और सॉफ़्टवेयर में पाई गईं। Google Chrome 291 कमजोरियों के साथ सबसे आगे रहा, उसके बाद मोज़िला फ़ायरफ़ॉक्स (257), Apple iTunes (243), एडोब फ्लैश (67), ओरेकल जावा जेआरई एसई (66), एडोब एयर (56), एडोब रीडर (43), और एप्पल क्विकटाइम (29).

माइक्रोसॉफ्ट उत्पादों (50) में विंडोज 7 में सबसे अधिक कमजोरियाँ थीं, उसके बाद इंटरनेट एक्सप्लोरर (41) और .नेट फ्रेमवर्क (14) थे।

यह सब संख्याओं पर बहुत अधिक भरोसा करने के विरुद्ध चेतावनी देता है। Google Chrome को उच्च स्तर की सुरक्षा प्रदान करने के लिए सैंडबॉक्स किया गया है, और इसे बहुत बार अपडेट किया जाता है। यह अपने स्कोर से कहीं अधिक सुरक्षित है। इसके विपरीत, ओरेकल जावा जेआरई एसई इस हद तक एक सुरक्षा आपदा रही है कि सबसे तर्कसंगत तरीका इसे अनइंस्टॉल करना है, भले ही इसका स्कोर कितना भी कम क्यों न हो।

सिकुनिया बताते हैं कि विंडोज 7 में पिछले साल बड़ी संख्या में कमजोरियाँ थीं, यह "एक सुरक्षा शोधकर्ता के काम का परिणाम था, जिसने एक विशिष्ट घटक, win32k.sys में खुदाई करने का निर्णय लिया। ऐसा करके, उन्होंने 2010 में 22 कमजोरियां और 2011 में 59 कमजोरियां खोजीं।" 2009 में केवल चार कमजोरियां पाई गईं।

इसमें कोई संदेह नहीं है कि सभी सॉफ़्टवेयर में बग होते हैं, अगर कोई उन्हें खोजने के लिए गहराई से खुदाई करने के लिए तैयार हो। इसलिए क्रोम की अधिक संख्या में कमजोरियाँ यह संकेत दे सकती हैं कि यह अधिक सुरक्षित है क्योंकि अधिक बग पाए गए हैं और उनका निवारण किया गया है।

मोर्टन आर स्टेंगर्ड फोटो क्रेडिट: सिकुनिया

सकारात्मक पक्ष पर, सिकुनिया की रिपोर्ट है कि 2012 में, 84 प्रतिशत कमजोरियों के पास खुलासा होने के दिन ही पैच उपलब्ध था, जबकि 2011 में यह 72 प्रतिशत था। सिकुनिया के उत्पाद प्रबंधन निदेशक मोर्टेन आर स्टेंगर्ड ने कहा: "इसका मतलब है कि अधिकांश कमजोरियों को दूर करना संभव है। पैचिंग न करने का कोई बहाना नहीं है. पैच उपलब्धता में इस सुधार का लाभ उठाने के लिए, संगठनों को पता होना चाहिए कि उनके यहां कौन से प्रोग्राम मौजूद हैं सिस्टम और इनमें से कौन सा प्रोग्राम असुरक्षित है, और फिर निवारण के लिए एक बुद्धिमान और प्राथमिकता वाला दृष्टिकोण अपनाएं उन्हें।"

कुल मिलाकर, सिकुनिया ने 421 विक्रेताओं के 2,503 कमजोर उत्पादों में कुल 9,776 कमजोरियों की सूचना दी।

कहने की जरूरत नहीं है, किसी कंपनी की सुरक्षा से समझौता करने के लिए एक कार्यक्रम में केवल एक अप्रकाशित भेद्यता की आवश्यकता हो सकती है।

कोपेनहेगन कंपनी को अपना अधिकांश डेटा मुफ़्त में मिलता है पर्सनल सॉफ्टवेयर इंस्पेक्टर (पीएसआई) प्रोग्राम, जो लाखों विंडोज़ पीसी (मेरे सहित) पर स्थापित है। इन पीसी में औसतन 72 प्रोग्राम स्थापित होते हैं। सिकुनिया का कहना है कि ये कार्यक्रम "एक देश से दूसरे देश और एक क्षेत्र से दूसरे क्षेत्र में भिन्न-भिन्न होते हैं" इसलिए 50 सबसे आम लोगों पर ध्यान केंद्रित करना आसान है।

पीएसआई यह देखने के लिए नियमित जांच करता है कि क्या पीसी में कोई प्रोग्राम है जिसमें नवीनतम पैच स्थापित नहीं हैं, और उपयोगकर्ताओं के लिए उन्हें पैच करना आसान बनाता है। यह महत्वपूर्ण है क्योंकि सभी विक्रेता निर्धारित अपडेट प्रदान नहीं करते हैं, और पैच किए गए संस्करण जारी होने पर वे उपयोगकर्ताओं को सूचित नहीं कर सकते हैं।

सिकुनिया एक कॉर्पोरेट सॉफ्टवेयर इंस्पेक्टर (सीएसआई) भी बेचता है और वर्तमान में बीटा-परीक्षण कर रहा है लघु व्यवसाय संस्करण इसके उत्पाद का.