|
CX2SA > DEBATE 29.09.05 06:30l 96 Lines 5264 Bytes #999 (0) @ LATNET
BID : 40009_CX2SA
Read: GUEST
Subj: Firefox vs. Int. Explorer 2/2
Path: ON0AR<ON0AR<7M3TJZ<EA5AKC<CX2SA
Sent: 050929/0626Z @:CX2SA.LAV.URY.SA #:40009 [Minas] FBB7.00e $:40009_CX2SA
From: CX2SA@CX2SA.LAV.URY.SA
To : DEBATE@LATNET
El tiempo de reacci¢n es obvio que tiene una repercusi¢n directa en la
seguridad de los navegadores. Si atendemos por ejemplo al dato facilitado de
media en el informe de Symantec, que sit£a en 6 d¡as el desarrollo de exploits
tras publicarse una vulnerabilidad, todo tiempo adicional que transcurra en la
publicaci¢n del parche supone una ventaja para los atacantes en perjuicio de
los usuarios. Por ello es muy importante que la pol¡tica de parches del
desarrollador sea diligente.
En este apartado podemos referenciar a eEye, que mantiene un listado de
vulnerabilidades no publicadas que han sido reportadas por su laboratorio a los
fabricantes de software a la espera de un parche. En este listado podemos
encontrar que Microsoft mantiene 10 vulnerabilidades reportadas sin parchear.
Por ejemplo, la primera de la lista es considerada cr¡tica por permitir
ejecutar c¢digo de forma remota, fue reportada a Microsoft el 29 de marzo de
2005, transcurriendo a d¡a de hoy 121 d¡as sin que aun haya publicado la
correspondiente actualizaci¢n para corregirla.
Upcoming Advisories
http://www.eeye.com/html/research/upcoming/index.html
El segundo punto tambi‚n es vital, ya que las vulnerabilidades no deben
contabilizarse en funci¢n de los parches oficiales publicados (como lo hace el
informe de Symantec), de lo contrario se podr¡an dar situaciones absurdas.
Por ejemplo, en el hipot‚tico caso de que yo fuera un desarrollador de software
al que le han detectado 10 vulnerabilidades y hago caso omiso a los avisos, y
no publico ning£n parche, en el informe de Symantec aparecer¡a con 0
vulnerabilidades.
Al hilo de este indicador podemos ver algunos datos gracias a Secunia, seg£n la
cual Internet Explorer mantiene 19 vulnerabilidades sin corregir, frente a
Firefox que tiene s¢lo 3. Ninguna de estas vulnerabilidades han sido tenidas en
cuenta en el informe de Symantec.
Vulnerabilidades en IE
http://secunia.com/product/11/
Vulnerabilidades en Mozilla Firefox
http://secunia.com/product/4227/
Por £ltimo tambi‚n hay que hacer menci¢n a ciertas tecnolog¡as que, sin contar
con vulnerabilidades espec¡ficas, son aprovechadas por los atacantes. Un
ejemplo representativo lo podemos encontrar en la tecnolog¡a Active-X de
Internet Explorer, muy utilizada en la instalaci¢n de dialers, troyanos,
spyware y adware a trav‚s de la web.
Dicho todo lo anterior, y aun partiendo de la base de que hoy d¡a es m s seguro
navegar con Firefox porque los ataques van dirigidos mayoritariamente a
usuarios de Windows e Internet Explorer de manera independiente a la seguridad
intr¡nseca de cada navegador, el principal origen de incidentes es la falta de
actualizaci¢n.
La mayor¡a de los exploits utilizados en la web para infectar los sistemas con
malware est n desarrollados para vulnerabilidades ya corregidas por los £ltimos
parches de seguridad. En el caso de Internet Explorer, por ejemplo, existe un
gran parque de usuarios que siguen utilizando una versi¢n 5.X. Tambi‚n ocurre
con Firefox, si bien el volumen es menos considerable porque su difusi¢n es
menor, y eso los atacantes lo tienen en cuenta.
Tanto Mozilla como Microsoft, adem s de mejorar por dise¤o sus navegadores,
respecto a los parches deber¡an acelerar su publicaci¢n, mejorar la calidad de
los mismos, y especialmente facilitar mecanismos para su notificaci¢n
autom tica e instalaci¢n. De poco sirve publicar parches si finalmente los
usuarios no los aplican.
Desde Hispasec concluyen que ambos navegadores est n dedicando recursos y
esfuerzos por mejorar su seguridad, y que esta competencia redunda en
beneficio de los usuarios. La seguridad es un proceso, y el estado actual de
las cosas no va a permanecer est tico. No se debe hablar en t‚rminos absolutos
de si un navegador es m s seguro que otro, son muchos los factores, algunos
externos al propio desarrollo del navegador, los que pueden ir inclinando la
balanza a uno u otro lado a lo largo del tiempo.
De manera independiente al navegador que decida utilizar, no en vano es una
opci¢n personal que depende de m s factores que el de la seguridad, la
recomendaci¢n de Hispasec es que preste especial atenci¢n a su actualizaci¢n. Y
que, en cualquier caso, debemos hacer esfuerzos en convertir el principal tal¢n
de Aquiles, que no es otro que el factor humano, en un aliado m s de la
seguridad. La tecnolog¡a m s segura puede suponer un riesgo si no se utiliza de
forma adecuada.
***********************************************************************
* CX2SA:BBS CX2SA-6:CLUSTER CX2SA-7:WX CX2SA-8:APRS/DIGI/IGATE *
*---------------------------------------------------------------------*
* RF: 7.040 KHz TCP/IP: cx2sa.dyndns.org Port 23 CLUSTER: Port 9000 *
*---------------------------------------------------------------------*
* SysOp: Jose Maria Gonzalez Devitta * E-mail: cx2sa@adinet.com.uy *
* Minas * Lavalleja * URUGUAY * South America * [GF25JP] *
***********************************************************************
Read previous mail | Read next mail
| |