La base de datos de expedientes de seguridad de Secunia es una de las que más consultamos siempre que se quiere ver cuántos bugs parcheados y no parcheados tiene un determinado software. También es útil ir a ella, junto a CVE Details, para buscar los bugs concretos de una versión concreta, de un producto a lo largo de sus versiones o de un fabricante de software concreto.
Por supuesto, ellos también hacen su análisis de datos para poder evaluar lo que está pasando en el mundo de la seguridad informática. Así, este pasado 14 de Marzo publicaron el informe llamado Security Vulnerability Review 2013 que analiza los fallos de seguridad del año 2012 y en comparación con los años anteriores, prestando especial importancia al TOP 50, es decir, a los 50 programas más instalados y utilizados por el mundo, entre los que evidentemente se encuentran Google Chrome, Mozilla Firefox, Internet Explorer y - en lugar de Apple Safari -, Apple iTunes.
El informe viene a recoger las tendencias, en las que se puede ver que el número de Security Advisories, CVEs y Vulnerabilidades - diferencia entre CVE y vulnerabilidad porque un CVE pueden ser varias vulnerabilidades de código - se ha estancado un poco en 2012.
Figura 1: Historial Global de vulnerabilidades por años en el TOP 50 |
Además, recoge que los sistemas operativos Windows, han decrecido sustancialmente en cuanto al número de fallos de seguridad descubiertos que les han afectado, tanto a Windows XP, Windows Vista, o Windows 7. Windows 8 no estaba aún en el TOP 50, como tampoco lo estaba Mac OS X o Linux.
Figura 2: Historico de vulnerabilidades en sistemas operativos MS Windows |
Lo más significativo es que entre el TOP 50, el número de bugs por Third Party Programs, o software de terceros hecho para Microsoft Windows, el número en 2012 es brutal.
Figura 3: Bugs en Sistema Operativo, en Software de Microsoft y de Terceros en el TOP 50 |
Y aquí viene la sorpresa final para algunos, esos números tan feos en Third Party, viene principalmente por Google Chrome, Apple iTunes y Mozilla Firefox, que son con diferencia de largo, los tres programas con más advisories, CVEs y vulnerabilidades.
Figura 4: Google Chrome, Mozilla Firefox y Apple iTuns encabezan el top de CVEs y vulnerabilidades |
Para muestra comparadlo con Microsoft Internet Explorer durante el año 2012, donde se puede ver cómo el número es como más de 5 veces menos.
Saludos Malignos!
Como usuario de Mozilla Firefox me resulta un varazo.
ResponderEliminarParece que IE10 versión Metro sin plugins tiene que ser un búnker.
Google Chrome queda bastante mal a pesar de su programa de $$$ por bugs pero hay que tenerle en cuenta que tiene un mayor número de usuarios.
En definitiva, a celebrarlo malignamente: Steve Ballmer celebrandolo
Es una gran cantidad de información lo que me has dado.
ResponderEliminarPero... ¿Y la frecuencia de actualizacion de los diferentes programas? Faltaria una comparacion de en cuanto tiempo se han resuelto los bugs, y ver la estadistica entre todos los programas, porque no es lo mismo que un bug lo arreglen mañana, y otro que no lo arreglen hasta final de año, el tiempo de explotación para hackers y similares es muy diferente.
ResponderEliminar@anonimo
ResponderEliminarPero tampoco es lo mismo un software que tenga ciertas vulnerabilidades y otro que tenga 5 veces más, cuando el factor "interés en ser atacado" no influye como escusa. Eso habla de cómo andan los controles de calidad de dichos productos.
Pero sobretodo el factor "tiempo" deja de tener importancia cuando ésa hipotética "frecuencia de actualización" sólo puede resolver algo a partir del momento en que las vulnerabilidades son encontradas "por chicos buenos" ¿pero qué hay de todo ése tiempo en que las vulnerabilidades estuvieron ahí, conocidas por "los malos" y explotándose?. No se dejen cegar con ésa supuesta "frecuencia de actualización", recuerden que antes que lo encontrara Secunia esas fallas estaban ahí.
Muy buen artículo! :-)
ResponderEliminar