La compañía Bit9, en un pequeño estudio, ha contado (y sólo contado) el número de vulnerabilidades graves en doce programas muy populares destinados al usuario. El navegador con menor número de fallos registrados en 2010 es Opera (6), seguido de Internet Explorer (32) y Firefox (51).
Bit9 se ha limitado a buscar en la base de datos pública de NIST (http://nvd.nist.gov) el número de vulnerabilidades graves archivadas para cada software. Ha contabilizado las publicadas entre el 1 de enero y el 21 de octubre de 2010. Consideran graves las vulnerabilidades cuyo valor estándar CVSS (Common Vulnerability Scoring System) es mayor que 7.
Este es el resultado:
* Google Chrome (76 vulnerabilidades graves)
* Apple Safari (60 vulnerabilidades graves)
* Microsoft Office (57 vulnerabilidades graves)
* Adobe Reader y Acrobat (54 vulnerabilidades graves)
* Mozilla Firefox (51 vulnerabilidades graves)
* Sun Java Development Kit (36 vulnerabilidades graves)
* Adobe Shockwave Player (35 vulnerabilidades graves)
* Microsoft Internet Explorer (32 vulnerabilidades graves)
* RealNetworks RealPlayer (14 vulnerabilidades graves)
* Apple WebKit (9 vulnerabilidades graves)
* Adobe Flash Player (8 vulnerabilidades graves)
* Apple QuickTime (6 vulnerabilidades graves) y Opera (6
vulnerabilidades graves)
En Hispasec hemos realizado las mismas búsquedas en la base de datos, y comprobamos que efectivamente los datos son correctos. Teniendo en cuenta que el NIST es una de las fuentes más serias y completas sobre vulnerabilidades confirmadas, los datos pueden considerarse fiables… pero son ¿acertados?
El estudio se queda ahí, y no pretende ir mucho más allá. Lógicamente, evaluar la seguridad integral de un producto involucraría muchas otras variables. Desde la velocidad de parcheo (sobre lo que Hispasec ya realizó su propio estudio) hasta el nivel de explotación de las vulnerabilidades, pasando por lo «hipotético» de una explotación real (que culmine en ejecución de código) de estas vulnerabilidades. Tampoco hay que olvidar que en teoría nada impide a Microsoft, por ejemplo, ocultar vulnerabilidades y solucionarlas de forma «silenciosa» (mientras que con software libre, a la larga, esto no sería posible). En la práctica, pensamos que no es una circunstancia habitual, dado el interés de los atacantes en descubrir fallos ocultos.
En este sentido, aunque los resultados del informe le sean favorables, Internet Explorer es el más atacado. Ciñéndose a los números, es el navegador (de entre Chrome, Safari y Firefox) con menor número de fallos graves. Pero esta «cualidad» no luce demasiado cuando sus fallos son, de lejos, los más explotados, mediáticos, deseados y aprovechados por atacantes. Igual ocurre con Adobe. Poco importa que en este estudio ocupe el cuarto puesto en número de vulnerabilidades. Durante los dos últimos años ha sido muy atacado y ha gestionado muy mal su seguridad: En cuestión de inseguridad «global», es el primero.
Probablemente este estudio de Bit9, incluso siendo realmente sencillo y llegando hasta donde llega, será interpretado a gusto del «consumidor» en «beneficio» propio, esto es, adaptándolo a las pasiones generales fuera del ámbito puramente técnico. En este sentido, tenemos un ejemplo reciente de cómo algunos han malinterpretado un estudio de Hispasec que también se limitaba a comparar la capacidad de detección de URLs fraudulenta por parte de los navegadores. El título original de la noticia «Firefox el navegador más seguro contra el fraude» fue rápidamente truncado en miles de páginas (más de 3.000 en Google) por «Firefox, el navegador más seguro según Hispasec», que desde luego, no es el mensaje original. Sería como titular esta noticia «Internet Explorer es el navegador más seguro (después de Opera)».
En nuestra opinión, este estudio de Bit9 viene a recordar (y no a «demostrar») que es posible que, si en algún momento Firefox o Chrome superan la cuota de uso de Internet Explorer, probablemente los atacantes tendrán más fallos donde elegir para explotar vulnerabilidades en su propio beneficio.
ssantos@hispasec.com
Más información:
Annual Report on Top Vulnerable Applications in 2010
http://www.bit9.com/landing/vulnapps2010/
Firefox el navegador más seguro contra el fraude
http://www.hispasec.com/unaaldia/4360
Estudio sobre la demora de los fabricantes de software en la corrección
de vulnerabilidades no públicas
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf
Deja una respuesta