В апреле 2018 года польская компания по безопасности iSec Security Research объявила о трех новых уязвимостях в ядре Linux, которые могут позволить злоумышленнику повысить свои привилегии на компьютере и запускать программы от имени администратора root.
Открытый исходный код и Microsoft
EEye Digital Security уведомила Microsoft о недостатках в реализации ASN.1 за восемь месяцев до того, как они наконец объявили об уязвимости публично и выпустили патч. Это были восемь месяцев, в течение которых плохие парни могли обнаружить и использовать недостаток.
Открытый исходный код имеет тенденцию исправляться и обновляться намного быстрее. Существует так много разработчиков, имеющих доступ к исходному коду, что, как только обнаруживается недостаток или уязвимость, и объявляет, что патч или обновление выпущено как можно быстрее. Linux подвержен ошибкам, но сообщество open source, похоже, гораздо быстрее реагирует на возникающие проблемы и гораздо быстрее реагирует соответствующими обновлениями, чем пытается скрыть существование уязвимости, пока не решит с ней справиться.
Тем не менее, пользователи Linux должны знать об этих новых уязвимостях и быть в курсе последних обновлений и обновлений от своих соответствующих поставщиков Linux. Одним из предостережений с этими недостатками является то, что они не могут быть использованы удаленно. Это означает, что для атаки на систему с использованием этих уязвимостей требуется, чтобы злоумышленник имел физический доступ к машине.
Многие эксперты по безопасности сходятся во мнении, что после того, как злоумышленник получит физический доступ к компьютеру, перчатки будут сняты, и практически любая защита в конечном итоге может быть обойдена. Наибольшую опасность представляют удаленно эксплуатируемые уязвимости или недостатки, которые можно атаковать из систем, находящихся далеко или за пределами локальной сети.
