Por Percy Cabello

Symantec ha publicado su Informe de amenazas de seguridad en Internet [en], que proporciona una importante información acerca del estado de la seguridad en Internet.

Según el reporte, los navegadores basados en Mozilla, incluido Firefox, son los que más vulnerabilidades documentadas tienen, reconocidas o no, con una tasa de 88 fallos (19 de gravedad media, 69 baja), cuatro veces el numero reportado para Safari. Internet Explorer lo sigue con 18 y Opera es último con sólo 12.

De todas maneras, según la página de las Vulnerabilidades Conocidas de la Fundación Mozilla, hay 22 agujeros de seguridad entre Firefox 2.0.0.5 y la versión 2.0.0.11, que son las actualizaciones hechas entre Julio y Diciembre de 2007, el período que cubre el estudio. El mismo número es el que figura en Secunia (luego de expandir los avisos múltiples de vulnerabilidades), así que no tengo idea de cómo Symantec pasa de los 22 a los 88, ya que el informe no dice de dónde obtiene estos números.


Una explicación posible es que cuenta de manera múltiple. El informe se refiere a los navegadores basados en Mozilla, no a Firefox solamente, así que podría ser que contara las vulnerabilidades de éste, con las mismas vulnerabilidades que sufren aquellos basados en Gecko, como SeaMonkey, Flock y Camino. Eso explicaría bastante, pero también significa que el informe está engañando a los usuarios de la manera más tonta posible.



Pero el conteo de las vulnerabilidades (o el doble conteo) es sólo la mitad de la historia. Otro factor importante de riesgo es cuánto tiempo el usuario estuvo expuesto a la vulnerabilidad. De acuerdo al informe, los usuarios de Internet Explorer estuvieron expuestos a estas vulnerabilidades una media de 11 días, mientras que los usuarios de los productos basados en Mozilla sólamente 3.


Aquí Safari toma el liderazgo con una tasa de menos de un día.


En el frente de los plugins del navegador, ActiveX es el responsable del 79% de todas las vulnerabilidades relativas a este campo, seguido por QuickTime (8%), Java (5%) y Flash (5%). Cabe destacar que las extensiones de Mozilla, con sólo una vulnerabilidad, no figuran más como fuente de agujeros de seguridad. Aunque debemos tener en mente que el uso de las extensiones de Firefox es muy pequeño comparado con el uso omnipresente de Flash y Java.


Adobe Reader también ha sido descartado y el reproductor de Windows Media ha entrado con sólo un 2%, algo que quizás debas tener en cuenta.



Mozilla no puede distribuir ese plugin debido a restricciones de la licencia, pero estaría bien que informasen de sus actualizaciones de vez en cuando.

El informe concluye que (pág. 36):

El crecimiento de la cuota de mercado para Mozilla Firefox está llevando a que crezca la atención sobre la seguridad de los usuarios. Sin embargo, esto no significa que vayan a crecer los ataques en forma desmedida. De todas formas Internet Explorer estuvo expuesto a menos vulnerabilidades, pero inherentes al navegador, en comparación con Mozilla, ya que la actividad indica que aún es la puerta de entrada para fallos que afectan a ActiveX y otras tecnologías del navegador relativas a este plugin.

Además:

La publicación de Internet Explorer 7 incluye mejoras en la seguridad para limitar las vulnerabilidades de ActiveX; de todas maneras, parece ser que esto no ha traído la reducción de estas vulnerabilidades. Esto puede indicar la poca efectividad de estas medidas, o que muchos de estos usuarios aún no se han actualizado a Internet Explorer 7.

Etiquetas: Noticias, Seguridad, Vulnerabilidades