Vulnerabilitat (informàtica)

De Viquipèdia
Dreceres ràpides: navegació, cerca

En seguretat informàtica, una vulnerabilitat fa referència a una feblesa d'un sistema que permet a un atacant violar la integritat, la privadesa, el control d'accés, la disponibilitat, la consistència o el mecanisme d'auditoria del sistema, o les dades i programes que hostatja. Les vulnerabilitats poden ser resultat d'errors en els programes (en anglès bugs) o en el disseny del sistema. Una vulnerabilitat pot ser teòrica o pot tenir un mecanisme d'explotació (en anglès exploit) conegut. Les vulnerabilitats són d'especial interès quan el programa que les conté opera amb privilegis especials, realitza autentificacions o permet un accés fàcil a les dades d'usuari o altres recursos (com ara servidors o bases de dades).

Causes[modifica | modifica el codi]

Les vulnerabilitats sovint són resultat d'una programació descuidada, tot i que poden tenir altres causes. Algunes vulnerabilitats vénen d'un control inadequat de les entrades del usuaris que pot permetre l'execució de comandes o sentències SQL (atac per injecció SQL). Altres vulnerabilitats poden venir de no comprovar la mida dels buffers, podent causar el desbordament d'aquests i podent-se arribar a aconseguir que l'ordinador executi el codi de l'atacant.

Difusió de vulnerabilitats[modifica | modifica el codi]

El mètode per donar a conèixer les vulnerabilitats és un tema freqüent a la comunitat de seguretat informàtica. Alguns prefereixen la publicació immediata de la informació sobre vulnerabilitats un cop descobertes. Altres prefereixen la publicació només pels usuaris amb major risc (normalment els desenvolupadors del programa o sistema) i només publicar els detalls de la vulnerabilitat després d'un temps. Aquest temps permet als usuaris notificats arreglar el problema desenvolupant un pedaç, però també pot augmentar el risc dels usuaris no informats.