La empresa Secunia ha publicado su informe anual de analisis vulnerabilidades con resultados relativos al año anterior realmente sorprendentes. Hace poco vimos que, de forma inesperada para muchos, el sistema operativo menos vulnerado del año pasado fue Microsoft Windows, y hoy vemos que uno de los navegadores con mayor popularidad es, además, uno de los más vulnerables. Secunia se ha basado en un KPI interesante y es el número de 0days encontrados en 2014 para este navegador. Este informe se basa en todos los datos recogidos por la herramienta PSI de la compañía que reside en millones de equipos de clientes y la base de datos de bugs que atesora.
El primer puesto en vulnerabilidades fue para Google Chrome, mientras que Oracle Solaris, Gentoo Linux y Microsoft Internet Explorer copaban el resto de puestos. Estos datos tienen dos lecturas importantes, desde el punto de vista de Secunia la empresa informa del número de bugs anuales, pero los ingenieros de Google indican que muchas de ellas son vulnerabilidades parcheadas, por lo que no eran explotables. Por este hecho, también se ha comentado que un factor importante era la cuenta de 0days en los productos, ya que esto sí es un indicador válido.
El primer puesto en vulnerabilidades fue para Google Chrome, mientras que Oracle Solaris, Gentoo Linux y Microsoft Internet Explorer copaban el resto de puestos. Estos datos tienen dos lecturas importantes, desde el punto de vista de Secunia la empresa informa del número de bugs anuales, pero los ingenieros de Google indican que muchas de ellas son vulnerabilidades parcheadas, por lo que no eran explotables. Por este hecho, también se ha comentado que un factor importante era la cuenta de 0days en los productos, ya que esto sí es un indicador válido.
Google Chrome encabeza la lista de navegadores con 504 vulnerabilidades reportadas seguido por Internet Explorer con 289, mientras que Firefox tiene 171. Entre todos los navegadores se registraron 1035 vulnerabilidades, mientras que en el año de 2013 se registraron 728. Esto quiere decir que algo está cambiando, quizá los navegadores se encuentran cada vez más en el foco de los investigadores. Además, en el informe se refleja que ha existido un aumento de 14 a 25 en lo que a 0days se refiere.
En el informe, un dato muy interesante es la revelación de que Mozilla registró el mayor número de usuarios con el navegador no parcheado, seguido por Chrome e Internet Explorer. Este hecho podría deberse a que Mozilla es utilizado en muchas ocasiones como navegador secundario, y a menudo no se actualiza con la misma frecuencia.
Figura 1: Listado de productos y sus vulnerabilidades |
En líneas generales, el informe indica que se registraron 15435 vulnerabilidades totales en relación con 3870 aplicaciones de 500 vendors. Eso es un aumento del 18 % de un año a otro, mientras que es un 55 % más desde el año 2009. De todas estas vulnerabilidades, 1698, es decir un 11% se consideran altamente críticas, y un 43, un 0,3%, son extremadamente críticas. El 83% de los vendors parchearon su producto antes de que las vulnerabilidades se dieran a conocer públicamente, mientras que en 2009 solo la mitad lo hicieron. Por último, y según indica el informe, los ataques remotos son más comunes, un 60%, que los vectores locales, un 33,4%.
Figura 2: Gráfica de vulnerabilidades anuales |
Este tipo de informes hacen ver qué hay diferentes formas de evaluar el impacto de las vulnerabilidades, y aunque un software tenga más vulnerabilidades que otros, el impacto dependerá de la criticidad de la vulnerabilidad, y su ámbito de descubrimiento, es decir si fueron parcheadas antes de ser conocidas públicamente. Otro factor interesante es conocer el ciclo de vida de la vulnerabilidad, es decir, el tiempo entre que se publica el parche y la vulnerabilidad desaparece de los sistemas de los usuarios y, como no, la calidad de los parches. De nada vale parchear rápido si se introducen nuevos bugs de funcionalidad y/o seguridad.
No hay comentarios:
Publicar un comentario