Данная угроза заключается в получении пользователем обновлений ПО, содержащих внедренные уязвимости программы или уязвимости программы, появившиеся в результате ошибок или неквалифицированных действий работников разработчика ПО при определении и реализации процедуры обновления ПО. Уязвимости программы могут быть внедрены в обновления компонентов ПО собственной разработки, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Внедрение уязвимостей программы может быть осуществлено путем модификации (включая подмену) обновлений ПО при их передаче пользователю из среды разработки ПО, при их передаче пользователю из среды разработки стороннего разработчика ПО и при их передаче разработчику из среды разработки стороннего разработчика ПО. Уязвимости программы могут быть внедрены в обновления заимствованных у сторонних разработчиков ПО компонентов путем их модификации в среде разработки стороннего разработчика ПО. Внедренные уязвимости программы в дальнейшем могут быть использованы нарушителем с целью выполнения компьютерных атак на информационную систему пользователя.
Реализация данной угрозы внутренним нарушителем может быть осуществлена путем внесения изменений в обновления компонентов ПО, а также в обновления компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Изменения могут быть внесены путем санкционированного или несанкционированного доступа к обновлениям ПО.
Внешний нарушитель может реализовывать данную угрозу путем удаленного доступа (из внешних сетей связи общего пользования и (или) сетей международного информационного обмена) к обновлениям компонентов ПО, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков ПО. Реализация данной угрозы внешним нарушителем возможна при условии подключения среды разработки ПО к внешним сетям связи общего пользования и (или) сетям международного информационного обмена.
Угроза обусловлена:
- недостатками в реализованных разработчиком ПО и (или) организацией, привлекаемой разработчиком ПО для поставок ПО (поставщиком ПО), механизмах контроля доступа и контроля целостности, применяемых к обновлениям компонентов ПО собственной разработки, а также к обновлениям компонентов ПО, которые заимствуют у сторонних разработчиков;
- недостатками в процедуре передачи обновлений программы пользователю и (или) поставщику ПО, связанными с отсутствием возможности у пользователя и (или) поставщика ПО обнаружения несанкционированных изменений в полученных обновлениях компонентов ПО собственной разработки, а также в обновлениях компонентов ПО, которые заимствуют у сторонних разработчиков;
- недостатками реализованных разработчиком ПО мерах по разработке безопасного ПО, связанных с проведением систематического поиска уязвимостей программы и обучением работников разработчика ПО в области разработки безопасного ПО.
Примечание — При выполнении анализа данной угрозы безопасности информации в качестве пользователя передаваемого обновления программы следует рассматривать в том числе сторонние организации, выполняющие интеграцию программы в комплексное изделие информационных технологий, поставляемое пользователям.
[из 5.5.3 Угроза внедрения уязвимостей в обновления программного обеспечения ГОСТ Р 58412–2019]