ON0AR

CX2SA  > DEBATE   29.09.05 06:30l 96 Lines 5264 Bytes #999 (0) @ LATNET
BID : 40009_CX2SA
Read: GUEST
Subj: Firefox vs. Int. Explorer 2/2
Path: ON0AR<ON0AR<7M3TJZ<EA5AKC<CX2SA
Sent: 050929/0626Z @:CX2SA.LAV.URY.SA #:40009 [Minas] FBB7.00e $:40009_CX2SA
From: CX2SA@CX2SA.LAV.URY.SA
To  : DEBATE@LATNET


El  tiempo  de  reacci¢n es  obvio  que  tiene una  repercusi¢n  directa  en la
seguridad de los  navegadores. Si atendemos  por ejemplo al  dato facilitado de
media en el informe de Symantec, que sit£a en 6 d¡as el desarrollo de  exploits
tras publicarse una vulnerabilidad, todo tiempo adicional que transcurra en  la
publicaci¢n del parche  supone una ventaja  para los atacantes  en perjuicio de
los  usuarios.  Por ello  es  muy importante  que  la pol¡tica  de  parches del
desarrollador sea diligente.

En  este  apartado podemos  referenciar  a eEye,  que  mantiene un  listado  de
vulnerabilidades no publicadas que han sido reportadas por su laboratorio a los
fabricantes de  software a  la espera  de un  parche. En  este listado  podemos
encontrar que Microsoft mantiene 10 vulnerabilidades reportadas sin parchear.

Por  ejemplo,  la primera  de  la lista  es  considerada cr¡tica  por  permitir
ejecutar c¢digo de forma  remota, fue reportada a  Microsoft el 29 de  marzo de
2005,  transcurriendo a  d¡a de  hoy 121  d¡as sin  que aun  haya publicado  la
correspondiente actualizaci¢n para corregirla.

Upcoming Advisories
http://www.eeye.com/html/research/upcoming/index.html

El  segundo  punto tambi‚n  es  vital, ya  que  las vulnerabilidades  no  deben
contabilizarse en funci¢n de los parches oficiales publicados (como lo hace  el
informe de Symantec), de lo contrario se podr¡an dar situaciones absurdas.

Por ejemplo, en el hipot‚tico caso de que yo fuera un desarrollador de software
al que le han detectado 10 vulnerabilidades  y hago caso omiso a los avisos,  y
no  publico  ning£n  parche,  en  el  informe  de  Symantec  aparecer¡a  con  0
vulnerabilidades.

Al hilo de este indicador podemos ver algunos datos gracias a Secunia, seg£n la
cual  Internet Explorer  mantiene 19  vulnerabilidades sin  corregir, frente  a
Firefox que tiene s¢lo 3. Ninguna de estas vulnerabilidades han sido tenidas en
cuenta en el informe de Symantec.

Vulnerabilidades en IE
http://secunia.com/product/11/

Vulnerabilidades en Mozilla Firefox
http://secunia.com/product/4227/

Por £ltimo tambi‚n hay que hacer menci¢n a ciertas tecnolog¡as que, sin  contar
con  vulnerabilidades  espec¡ficas,  son  aprovechadas  por  los  atacantes. Un
ejemplo  representativo  lo  podemos encontrar  en  la  tecnolog¡a Active-X  de
Internet  Explorer,  muy  utilizada en  la  instalaci¢n  de dialers,  troyanos,
spyware y adware a trav‚s de la web.

Dicho todo lo anterior, y aun partiendo de la base de que hoy d¡a es m s seguro
navegar  con  Firefox  porque  los  ataques  van  dirigidos  mayoritariamente a
usuarios de Windows e Internet Explorer de manera independiente a la  seguridad
intr¡nseca de cada navegador, el principal origen de incidentes es la falta  de
actualizaci¢n.

La mayor¡a de los exploits utilizados en la web para infectar los sistemas  con
malware est n desarrollados para vulnerabilidades ya corregidas por los £ltimos
parches de seguridad. En el caso  de Internet Explorer, por ejemplo, existe  un
gran parque de usuarios que  siguen utilizando una versi¢n 5.X.  Tambi‚n ocurre
con Firefox, si bien  el  volumen es menos  considerable porque su difusi¢n  es
menor, y eso los atacantes lo tienen en cuenta.

Tanto Mozilla  como Microsoft,  adem s de  mejorar por  dise¤o sus navegadores,
respecto a los parches deber¡an acelerar su publicaci¢n, mejorar la calidad  de
los  mismos,  y  especialmente   facilitar  mecanismos  para  su   notificaci¢n
autom tica e  instalaci¢n. De  poco sirve  publicar parches  si finalmente  los
usuarios no los aplican.

Desde  Hispasec concluyen  que ambos  navegadores est n  dedicando recursos   y
esfuerzos  por  mejorar  su  seguridad,  y  que  esta  competencia  redunda  en
beneficio de los usuarios. La seguridad  es un proceso, y el estado  actual  de
las cosas no va a permanecer est tico. No se debe hablar en t‚rminos  absolutos
de si un navegador  es m s seguro que  otro, son muchos los  factores,  algunos
externos al propio desarrollo del  navegador, los que pueden ir  inclinando  la
balanza a uno u otro lado a lo largo del tiempo.

De manera independiente  al navegador que  decida utilizar, no  en vano es  una
opci¢n  personal  que  depende de  m s  factores  que el  de  la  seguridad, la
recomendaci¢n de Hispasec es que preste especial atenci¢n a su actualizaci¢n. Y
que, en cualquier caso, debemos hacer esfuerzos en convertir el principal tal¢n
de  Aquiles, que  no es  otro que  el factor  humano, en  un aliado  m s de  la
seguridad. La tecnolog¡a m s segura puede suponer un riesgo si no se utiliza de
forma adecuada.

    ***********************************************************************
    *   CX2SA:BBS  CX2SA-6:CLUSTER  CX2SA-7:WX  CX2SA-8:APRS/DIGI/IGATE   *
    *---------------------------------------------------------------------*
    * RF: 7.040 KHz  TCP/IP: cx2sa.dyndns.org Port 23  CLUSTER: Port 9000 *
    *---------------------------------------------------------------------*
    * SysOp: Jose Maria Gonzalez Devitta  *  E-mail: cx2sa@adinet.com.uy  *
    *        Minas * Lavalleja * URUGUAY * South America * [GF25JP]       *
    ***********************************************************************



Read previous mail | Read next mail