Secunia, la consultora de seguridad de Software, ha publicado su reporte de 2007, un listado del estado de la seguridad de software del último año. De todas maneras este informe no es concluyente, como suele ocurrir en estos casos.De acuerdo con las estadísticas reportadas en la sección de navegadores web, Firefox es la que cuenta con el mayor reporte de vulnerabilidades, 64; seguida de Internet Explorer con 43, y Opera y Safari con 14 cada uno.
Para completar el informe, Secunia también reporta que Firefox aún tiene 3 bugs sin resolver de 8 vulnerabilidades descubiertas, mientras que Internet Explorer tiene peligrosamente 7 de 10. En el campo del tiempo de exposición, las vulnerabilidades de IE se han mantenido sin resolver por un promedio de 173 días, mientras que el promedio de resolución de bugs de Firefox ha sido de 88 días, nada de que enorgullecerse, pero es una ventaja importante igualmente.
Luego está el aspecto de la severidad, o de cómo podría verse afectado si la vulnerabilidad fuese utilizada contra un usuario particular. Para un intento de medir métricamente el riesgo de este ataque he asignado numéricamente del 1 al 16 cada nivel de gravedad que Secunia usa en su reporte: nada, poco, moderado o altamente crítico. Luego multiplicado por el número de días que los bugs no se resolvieron, para tener una idea de cuán vulnerable fue cada navegador durante 2007.
En este experimento Firefox obtiene 876 puntos de riesgo, bastante menos que los 2.684 de Internet Explorer. ¿Es esto una medida acertada del nivel de seguridad de cada navegador?. Difícilmente, porque decidí que no era lo mismo que una vulnerabilidad te pusiera en riesgo varias veces, contra una que te pusiera en peligro solo una vez. Me gustaría que empresas como Secunia que están en una mejor posición de analizar este tipo de inseguridades, sean capaces de crear una medida estándar para definir los riesgos de las vulnerabilidades de software.
En el apartado de las vulnerabilidades relativas a los plugins, ActiveX (únicamente en Internet Explorer) se lleva las palmas con 339 vulnerabilidades, seguida de QuickTime con 35, 21 de Java, 12 de Flash, extensiones (sólo en Firefox) con 6 y Widget (sólo en Opera) con 3.De acuerdo con el reporte, la cantidad de agujeros de ActiveX puede que se hubieran disparado debido al Mes del bug de ActiveX, un weblog que elevó los avisos de seguridad de ActiveX anunciando una inseguridad diaria durante un mes.
Para un informe completo, puedes leer el informe de Secunia 2007 [en].
Etiquetas: Firefox, Seguridad, Vulnerabilidades
