Dirty Dozen es una lista que saca, desde hace 4 años ya, la empresa Bit9 en la que cataloga las aplicaciones con más vulnerabilidades catalogadas con una severidad Alta o superior, durante los 10 primeros meses del año. Todas las vulnerabilidades catalogadas para poder crear esta lista tienen el común denominador de cumplir estos dos requisitos:
a) Haber sido reportadas entre el 1 de Enero de 2010 y el 21 de Octubre de 2010.
b) Haber obtenido un CVE y estar registrada en la base de datos del NIST con un nivel de criticidad alto o superior
Esta lista, ha dado la vuelta al mundo con el titular que más llama la atención, es decir, que Google Chrome es la aplicación más sucia de todas, con un total de 76 vulnerabilidades de estas características, lo que deja un ratio de casi 8 vulnerabilidades con criticidad High, Very High o Critical de este producto.
Sin embargo, no hay que olvidar que en esa lista tenemos algunos productos de Apple, que deben ser tenidos en cuanta, en primer lugar por la propia compañía para que preste más atención a estos productos y, en segundo lugar, por los administradores de sistemas que deben tomar precaución especial a los procesos de actualización y parcheo.
Apple Safari quedó en segunda posición con nada más, y nada menos que el no desdeñable valor de 60 vulnerabilidades. También hay que tener en cuenta que Apple Webkit, el motor de renderización web que utilizan varios navegadores, entre ellos Safari, tuvo también 9 vulnerabilidades. Por último, cerrando la lista empatado con el navegador Opera en la posición 12, aparece Apple Quicktime, con 6 vulnerabilidades, entre las que está, por supuesto, el peligroso 0day descubierto por Rubén Santarmarta en Agosto.
La lista completa de aplicaciones, que puede obtenerse en la web de la empresa, y es la siguiente, en la que están, por supuesto, también los productos de Adobe, Microsoft, Java o Firefox:
1 - Google Chrome (76 reported vulnerabilities)
2 - Apple Safari (60)
3 - Microsoft Office (57)
4 - Adobe Reader and Acrobat (54)
5 - Mozilla Firefox (51)
6 - Sun Java Development Kit (36)
7 - Adobe Shockwave Player (35)
8 - Microsoft Internet Explorer (32)
9 - RealNetworks RealPlayer (14)
10 - Apple WebKit (9)
11 - Adobe Flash Player (8)
12 - Apple QuickTime (6) and Opera (6)
Hay que recordar que esta lista es lo que es, nada más que una lista que puede ser un dato más para entender mejor la situación de la seguridad en Internet hoy en día, pero no para medir que una aplicación es más segura que otra, ya que estos valores pueden representar la popularidad del producto, la cantidad de investigadores de seguridad interesados en buscarle vulnerabilidades o la cuota de mercado del producto. Lo que si está claro es que, esas vulnerabilidades, existen y se han comprobado. La interpretación final es tuya.
No hay comentarios:
Publicar un comentario