Połowa luk z roku 2007 niezałatana

Dla ponad 3600 luk wykrytych w ostatnim roku nadal nie opracowano łatek programowych.

Według raportu przygotowanego przez IBM Internet Security Systems (ISS) X-Force, w roku 2007 wykryto 6 437 luki w oprogramowaniu, co oznacza spadek o 5,4 proc. w porównaniu z rokiem 2006. Jednak najbardziej ryzykowne luki, związane z możliwością zdalnego lub lokalnego dostępu, zwiększyły swoją liczbę o 16,2 proc. Oprogramowania Microsoft, Apple, Oracle, IBM i Cisco zaliczyło 13,6 proc. wszystkich luk, z których 20 proc. niepołatano.

Ponad 50 proc. luk dotyczących innych rozwiązań jest do tej pory niepołatana. Według raportu, Apple odnotowuje prawie tyle samo luk co Microsoft, przy czym spora cześć luk Microsoftu jest poza systemem operacyjnym. W obszarze systemów operacyjnych "lepsza" jest Apple.

Większość platform open source nie ma zbyt wielu przeterminowanych luk, ponieważ są one zazwyczaj wyłapywane i korygowane szybko przez społeczność projektująca kod. I tak luki OpenBSD są zazwyczaj łatane w ciągu doby, ponieważ łatki są testowane przesz szerokie grono społeczności open source. A właśnie testowanie łatek może wprowadzać największe opóźnienia i znane są przypadki testowania ich nawet przez pół roku.

Według raportu 90 proc. luk może być wykorzystana zdalnie, co oznacza 2 proc. wzrost w stosunku do roku 2006. Liczbę węzłów sieci bot raport ocenił na 32 do 71 milionów. Największą armię maszyn zombie zorganizował Storm (230 tys.), na kolejnych miejscach uplasowali się: Rbot (40 tys. węzłów) i Bobax ( 24 tys.).

Liczba kodów złośliwych wrosła o jedną trzecia w porównaniu z rokiem 2006 - do 410 tys., głównie dzięki trojanom, które reprezentują 26 proc. całkowitej liczby malware (109 tys.).

Józef Muszyński