Vulnerabilitat (informàtica)

En seguretat informàtica, una vulnerabilitat fa referència a una feblesa d'un sistema que permet a un atacant violar la integritat, la privadesa, el control d'accés, la disponibilitat, la consistència o el mecanisme d'auditoria del sistema, o les dades i programes que hostatja. Les vulnerabilitats poden ser el resultat d'errors en els programes (en anglès bugs) o en el disseny del sistema. Una vulnerabilitat pot ser teòrica o pot tenir un mecanisme d'explotació (en anglès exploit) conegut. Les vulnerabilitats són d'especial interès quan el programa que les conté opera amb privilegis especials, realitza autentificacions o permet un accés fàcil a les dades d'usuari o altres recursos (com ara servidors o bases de dades).

Causes modifica

Les vulnerabilitats sovint són resultat d'una programació descuidada, tot i que poden tenir altres causes. Algunes vulnerabilitats venen d'un control inadequat de les entrades dels usuaris que pot permetre l'execució de comandes o sentències SQL (atac per injecció SQL). Altres vulnerabilitats poden venir de no comprovar la mida dels buffers, podent causar el desbordament d'aquests i podent-se arribar a aconseguir que l'ordinador executi el codi de l'atacant.

Difusió de vulnerabilitats modifica

El mètode per donar a conèixer les vulnerabilitats és un tema freqüent a la comunitat de seguretat informàtica. Alguns prefereixen la publicació immediata de la informació sobre vulnerabilitats un cop descobertes. Altres prefereixen la publicació només pels usuaris amb major risc (normalment els desenvolupadors del programa o sistema) i només publicar els detalls de la vulnerabilitat després d'un temps. Aquest temps permet als usuaris notificats arreglar el problema desenvolupant un pedaç, però també pot augmentar el risc dels usuaris no informats.

Vegeu també modifica