Статья

Название статьи ОБНАРУЖЕНИЕ МУТАЦИИ УЯЗВИМОСТЕЙ В ПРОГРАММНОМ ОБЕСПЕЧЕНИИ
Автор Д.А. Катаргин
Рубрика РАЗДЕЛ I. УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Месяц, год 08, 2014
Индекс УДК 004.056.57
DOI
Аннотация Рассматривается методика обнаружения уязвимостей в программном обеспечении (ПО). Актуальность связана с необходимостью своевременного обнаружения уязвимостей в программных продуктах для предотвращения утечки или порчи пользовательских данных. В качестве объекта исследования выступает продукт «MS Office», так как уязвимости, присутствующие в нем, непосредственно влияют на личные документы пользователя. Для обнаружения мутаций уязвимости выявлены модули ПО, которые подвергаются наиболее частой эксплуатации. Для этого используется база уязвимостей NVD и классификаторы уязвимостей CWE. Но ссылки на классификаторы не всегда присутствуют в базе уязвимостей, поэтому была проведена оценка достаточности покрытия для дальнейшего исследования, которая показала, что классификаторы CWE присутствуют в базе для более чем 80 % уязвимостей, начиная с 2009 г. На основании полученных классификаторов из базы NVD была построена карта уязвимостей, из которой были получены векторы атаки: «вверх» – эксплуатация старой уязвимости в новой версии ПО; «вдоль» – эксплуатация уязвимости в смежном модуле, которая распространяется на смежные продукты; «вниз» – эксплуатация уязвимости из новой версии ПО на старой. Также к данным векторам приведены экспериментальные результаты, которые подтвердили положение методики к обнаружению уязвимостей в ПО с закрытым исходным кодом.

Скачать в PDF

Ключевые слова Уязвимость; мутация; программное обеспечение; карта уязвимостей.
Библиографический список 1. Selvaraj K., Gutierrez N.F. The rise of PDF malware // Symantec Security Response. – 2010.
2. Hueske F., Krettek A., Tzoumas K. Enabling operator reordering in data flow programs through static code analysis // arXiv preprint arXiv:1301.4200. – 2013.
3. Mallouli W. et al. VDC-Based Dynamic Code Analysis: Application to C Programs // Journal of Internet Services and Information Security. – 2011. – Vol. 1, №. 2/3. – P. 4-20.
4. Tzermias Z. et al. Combining static and dynamic analysis for the detection of malicious documents // Proceedings of the Fourth European Workshop on System Security. – ACM, 2011. – P. 4.
5. MITRE Corporation, Common Weakness Enumeration, 2014. [Электронный ресурс]. –Режим доступа: http://cwe.mitre.org/, свободный.
6. SecurityLab, Microsoft не будет исправлять уязвимость в Internet Explorer 8 семимесячной давности, 2014. [Электронный ресурс]. – Режим доступа: http://www.securitylab.ru/news/453198.php, свободный.
7. MITRE Corporation, Common Weakness Enumeration. URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2389.
8. Microsoft, KB-917150, 2014. [Электронный ресурс]. – Режим доступа: http://support.microsoft.com/kb/917150/ru, свободный.
9. MITRE Corporation, Common Weakness Enumeration. URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3431.
10. Arora A. et al. An empirical analysis of software vendors' patch release behavior: impact of vulnerability disclosure // Information Systems Research. – 2010. – Vol. 21, №. 1. – P. 115-132.

Comments are closed.