Компании сообщаютНовости компаний

DSecRG: на защите клиентских бизнес-приложений

| 28.01.2011
Безопасность рабочих станций конечных пользователей, работающих с бизнес-приложениями, не менее важна, чем безопасность серверов бизнес-приложений. Используя уязвимое клиентское ПО, злоумышленник может попасть на рабочую станцию пользователя компании через сеть Интернет и после этого с использованием троянских программ атаковать серверы бизнес-приложений или подключиться к ним, используя учётную запись пользователя подвергнутого атаке. В рамках деятельности исследовательского центра DsecRG в течение прошлого года проводился анализ безопасности различного клиентского ПО для популярных бизнес-приложений всемирно известных производителей SAP и Oracle, и информация о найденных уязвимостях отправлялась производителям. <br />
В результате данных работ за последний месяц производителями были исправлены следующие уязвимости  в различных продуктах: <br />
- удалённое выполнение кода в SAP NetWeaver BusinessClient:<br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=210">http://dsecrg.ru/pages/vul/show.php?id=210</a> <br />
- двe уязвимости удалённого выполнения кода в SAP GUI:<br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=169">http://dsecrg.ru/pages/vul/show.php?id=169</a><br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=170">http://dsecrg.ru/pages/vul/show.php?id=170</a><br />
- четыре уязвимости выполнения  кода и выполнения небезопасных методов в продукте Oracle Document Capture:<br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=304">http://dsecrg.ru/pages/vul/show.php?id=304</a><br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=305">http://dsecrg.ru/pages/vul/show.php?id=305</a><br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=306">http://dsecrg.ru/pages/vul/show.php?id=306</a><br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=307">http://dsecrg.ru/pages/vul/show.php?id=307</a><br />
- множественные небезопасные методы в продуктах SAP Crystal Reports:<br />
<a class="txttohtmllink" href="http://dsecrg.ru/pages/vul/show.php?id=302">http://dsecrg.ru/pages/vul/show.php?id=302</a><br />
За проделанную работу специалистам DSecRG были выражены благодарности от компании SAP в пакете обновлений за декабрь 2010 года и январь 2011  года , а  также от компании Oracle за январь 2011 года. <br />
    Для повышения осведомлённости пользователей в вопросах безопасности клиентских приложений, а также для сбора данных о текущем уровне безопасности пользователей был разработан бесплатный сервис Erpscan Online, позволяющий пользователям проверить наличие уязвимостей в их клиентском программном обеспечении и посмотреть обучающие ролики, повышающие осведомлённость в области  безопасности. Сервис работает в режиме финального Beta-тестирования. <br />
На данный момент анализируется безопасность наиболее популярной программы SAP GUI. В дальнейшем планируется дополнить сервис другими популярными клиентскими бизнес-приложениями. Помимо этого на сайте erpscan.com можно будет ознакомиться с последними новостями в области безопасности SAP и других ERP-систем, а также исследованиями DSecRG  в области поиска и анализа уязвимостей.