La compañía Bit9 ha contado el número de vulnerabilidades graves en doce programas muy populares destinados al usuario. El navegador con menor número de fallas registradas en 2010 es Opera con 6, seguido de Internet Explorer con 32 y Firefox con 51.
Bit9 se limitó a buscar en la base de datos pública de NIST (http://nvd.nist.gov) el número de vulnerabilidades graves archivadas para cada software. Ha contado las publicadas entre el 1 de enero y el 21 de octubre de 2010. Consideran graves las vulnerabilidades cuyo valor estándar CVSS (Common Vulnerability Scoring System) es mayor que 7.
El resultado de este conteo es el siguiente:
* Google Chrome (76 vulnerabilidades graves)
* Apple Safari (60 vulnerabilidades graves)
* Microsoft Office (57 vulnerabilidades graves)
* Adobe Reader y Acrobat (54 vulnerabilidades graves)
* Mozilla Firefox (51 vulnerabilidades graves)
* Sun Java Development Kit (36 vulnerabilidades graves)
* Adobe Shockwave Player (35 vulnerabilidades graves)
* Microsoft Internet Explorer (32 vulnerabilidades graves)
* RealNetworks RealPlayer (14 vulnerabilidades graves)
* Apple WebKit (9 vulnerabilidades graves)
* Adobe Flash Player (8 vulnerabilidades graves)
* Apple QuickTime (6 vulnerabilidades graves)
y Opera (6 vulnerabilidades graves)
Hispasec realizó las mismas búsquedas en la base de datos y comprobaron que efectivamente son correctos. Teniendo en cuenta que el NIST es una de las fuentes más serias y completas sobre vulnerabilidades confirmadas, los datos pueden considerarse fiables.
El estudio se queda ahí y no pretende ir mucho más allá. Evaluar la seguridad integral de un producto involucraría muchas otras variables. Desde la velocidad de parcheo hasta el nivel de explotación de las vulnerabilidades, pasando por lo "hipotético" de una explotación real de estas vulnerabilidades. Tampoco tenemos que olvidar que en teoría nada impide a Microsoft, por ejemplo, ocultar vulnerabilidades y solucionarlas de forma "silenciosa". En la práctica, se piensa que no es una circunstancia habitual, dado el interés de los atacantes en descubrir fallas ocultas.
Aunque los resultados del informe le sean favorables Internet Explorer es el más atacado. Ciñéndose a los números, es el navegador de entre Safari, Firefox y Chrome con menor número de fallas graves. Pero esta "peculiaridad" no luce demasiado cuando sus fallas son las más explotadas, deseadas y aprovechados por atacantes; lo mismo pasa con Adobe. Poco importa que en este estudio ocupe el cuarto puesto en número de vulnerabilidades, la cuestión es que durante los dos últimos años ha sido muy atacado y ha gestionado muy mal su seguridad: En cuestión de inseguridad "global", es el primero.
Probablemente este estudio de Bit9 será interpretado a gusto del "usuario" en "beneficio" propio, esto es, adaptándolo a las pasiones generales fuera del ámbito puramente técnico. En este sentido, existe un ejemplo reciente de cómo algunos han malinterpretado un estudio realizado por Hispasec que también se limitaba a comparar la capacidad de los navegadores para detectar URLs fraudulentos. El título original de la noticia "Firefox el navegador más seguro contra el fraude" fue rápidamente truncado en miles de páginas por "Firefox, el navegador más seguro según Hispasec", que desde luego, no es el mensaje original. Sería como titular esta noticia "Internet Explorer es el navegador más seguro después de Opera".
Este estudio de Bit9 viene a recordar que es posible que si en algún momento Firefox o Chrome superan la cuota de uso de Internet Explorer, los atacantes tendrán más fallas de donde elegir para explotar vulnerabilidades en su propio beneficio.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4409
No hay comentarios:
Publicar un comentario