¡Vaya! Tanto quejarnos de Internet Explorer ahora vemos que Firefox no se queda atrás en cuanto a vulnerabilidad. Al menos eso dicen en Bit9.
Parece ser que el puesto número uno se lo ha ganado por el parcheo de 10 vulnerabilidades que permitían a un usuario malintencionado ganar el control, acceso o ejecutar código aleatorio mediante buffer overflow, links extraños, javascript, documentos y herramientas de terceros.
La lista completa es esta:
- Mozilla Firefox
- Adobe Flash and Adobe Acrobat
- EMC VMware Player,Workstation and other products
- Sun Java JDK and JRE, Sun Java Runtime Environment (JRE)
- Apple QuickTime, Safari and iTunes
- Symantec Norton products (all flavors 2006 to 2008)
- Trend Micro OfficeScan
- Citrix Products
- Aurigma Image Uploader, Lycos FileUploader
- Skype
- Yahoo! Assistant
- Microsoft Windows Live (MSN) Messenger
Enlace: The Most Vulnerable Applicatinos - 2008 report (PDF) | Vía: Neowin | Foto: vrogy
Algunas anotaciones relacionadas: Primera vulnerabilidad en Firefox 2.0, ¿Mac OS X más vulnerable que Windows?, Vulnerabilidad en los drivers de nVidia para Linux, Firefox 2.0.0.2 RC 2, Actualizaciones para Firefox, más en Bitelia.
Interesante noticia, podría agregar que el 99% (sino todas) las vulnerabilidades críticas que he conocido de Firefox se previenen instalando una sola extensión: NoScript.
Algo más, Firefox suele parchar sus vulnerabilidades con rapidez. La seguridad no se da en el menor de vulnerabilidades sino en función con el nivel y tiempo de aprovechamiento de la vulnerabilidad (los famosos 0day) y la velocidad de respuesta de los desarrolladores de la aplicación para repararla .
Todas las aplicaciones tienen vulnerabilidades. Sean “libres”, opensource o propietarias. Aunque no sé si seguirá vigente, se estimaba que por cada 10,000 líneas de código existe una línea con error. En consecuencia, a medida que las aplicaciones se hacen más grandes la probabilidad de que contenga errores crece proporcionalmente.
Me sorprende gratamente que Opera no se encuentre en esta lista, un navegador propietario pero gratuito y bastante eficiente, demostrando que las aplicaciones propietarias… en realidad no demuestra nada. Es un gran navegador (para algunos el mejor) y punto.
Hola,
según entiendo de la lista, es una lista formada por las aplicaciones que mas vulnerabilidades han corregido en un determinado espacio de tiempo.
Podemos deducir que en Firefox trabajan mucho al menos. Pero no podemos deducir que sea la aplicación menos segura de esa lista.
Puede darse el caso que otras aplicaciones tengan mas fallos de seguridad y no los hayan corregido.
Un saludo,
ok_
Y me pregunto ..
quién ha pagado ese listado para que la primera aplicación de Microsoft esté en el puesto 12 y sea el MSN Messenger?
Malpensado que es uno.
No me extraña en Secunia tambien tenía muchos avisos de vulnerabilidades….por eso uso Opera…
Saludos
Con tan solo ver que no figura IE, ya te das cuenta que es otra de esas campañas para tirar abajo a Mozilla, como la que hizo Symantec hace unos años, diciendo que los sistemas Windows eran los más seguros en el mercado (por arriba de MAC OS y GNU/Linux…).
Mmmm, no veo a Internet Explorer en esa lista, me parece que alguien pagó para no salir en ella…
En mi experiencia personal he visto mas infectados de algun virus y me mandan mensajitos con links… que infecciones debido a firefox, tengo Kaspersky.
Con tan solo ver que no figura Internet Explorer, ya te das cuenta que esta no es otra de esas campañas para tirar abajo a Microsoft incentivada (gratuitamente) por los Linuxeros y los Firefoxeros.
Ojo, que utilizo Firefox, pero los malditos fanáticos me tienen hasta las pelotas, ese hablar por hablar…
¿Tanto os duele que Microsoft haga bien su trabajo, y mas en los últimos años?
Usar el sistema operativo que queráis pero dejar ya de ser moscas cojoneras.
Microsoft haciendo bien su trabajo? Cual, el de monopolizar el mercado de sistemas operativos? o de navegadores?
OMG! Jaja, no tengo más para decir!
Palabras necias, oídos sordos.
Si es así, entonces, Telefonica hace su trabajo de una manera excelente e impecable…
@Huyi:
Deberías preocuparte más por lo que hace Apple, que tienen software mucho más cerrado, y encima se aprovechan del software libre para basar su sistema operativo, no eches la culpa a Microsoft con su supuesto monopolio de que los desarrolladores de las distintas distros de Linux no tengan visión, porque dinero han tenido de sobra.
Te cuento algunos problemas de Linux, así por encima:
- Cada distro va a su bola.
- Hay tropecientas mil distros, en el fondo son idénticas lo único que hacen es perder recursos y tiempo yendo cada uno a su bola.
- Por si el hecho de haber tropecientas mil distros no fuera suficiente encima dentro de cada distro los responsables no se ponen de acuerdo para hacer nada, son poco imaginativos, estilos visuales pobres, hasta los nombres de los programas que hacen son pobres y poco imaginativos.
Son algunos de los problemas que llevan a preguntarse ¿merece la pena invertir en eso? desde luego que no.
Eso de aprovecharse de una compañía de mal nombre, Telefónica, para echar mas mierda si cabe encima de otra, Microsoft, lo veo un poco rebuscado y falto de argumentos.
Lo que hace Apple? Me da exactamente igual, mi opinión no va a cambiar de ninguna manera, es una empresa más, que pretende monopolizar como Google y cualquier otra empresa, y debería, al menos, ponerle más atención a su producto, para que no suceda lo que está sucediendo justamente ahora (después de la actualización de esta semana), pantallas azules al inicio. Si queres más info busca en google y vas a ver.
Que use Software Libre en Mac OS es algo increible, y pasa lo mismo con Microsoft, o me vas a decir que todos los “chiches” de Vista y se7en salieron de las mentes de sus desarrolladores? No es así. Creatividad 0 - Plagio, Incumplimiento de Licencias y ni más ni menos que (otra definición de) PIRATERIA 1.
De las distros de Linux no mencione nada, y ya que estamos tengo que comentar que estoy de acuerdo en ese punto, está bien que haya para todos los gustos, por ejemplo, para edición de video, educación, etc., pero el caso de las tropecientas mil distros es algo ridículo y improductivo.
Por eso mismo pienso que no está tan mal que salga una empresa que, digan lo que digan, quiera “estandarizar” o hacer una distro más “común” (de comunidad no de simplicidad) como Ubuntu, Fedora y similares.
Justamente debido a que, como vos decís, no merece invertir en eso, es que “no se ponen de acuerdo en nada, son poco imaginativos y los nombres son muy malos y genéricos”, porque nadie apuesta a lo libre, prefieren “venderte” una licencia que sale US$500 y darte un soporte pésimo.
¿estilos visuales pobres?, eso si que no es verdad, los estilos visuales de la mayoría de los sistemas GNU/Linux (los de MAC también) son muy superiores a los de cualquier Windows.
Con respecto a Telefonica-Microsoft, no veo mucha diferencia: publicidad engañosa, licencias y contratos demasiado complejos (obviamente para que el usuario final no los entienda y firme), “estrategias” de mercado demasiado “sucias” por decirlo de una forma no insultante.
Con la diferencia que Windows es popular como es porque piratearlo es moneda corriente. Si Microsoft saliera a hacer justicia con sus licencias, el Software Libre tendría muchísimo que el que tiene actualmente, eso ni siquiera se discute.
Hombre, tienes tu gran parte de razón, pero entenderás que aquí cada uno lo vera de su modo, unos ven el vaso medio vació y otro medio lleno de toda la vida, no quiero discusiones ya de todos modos me he ido un poco de la lengua.
Si, igual yo, pero siempre digo y voy a seguir diciendo lo mismo, a pesar de lo que escribo a veces, que no es más que para informar a los que lo puedan llegar a leer, cada uno es dueño de hacer, usar y pensar lo que quiera, para bien o para mal, y respeto a las personas que usan otros sistemas, navegadores, o lo que sea.
Volviendo al tema de el post, vale destacar que Bit9 es una empresa que vende soluciones para empresas con sistemas Microsoft Windows, y mirando esta imagen, queda absolutamente claro el porque de la lista.
Ah, otra cosa más que debería estar en el post: esta empresa de soluciones de seguridad está aliada con Microsoft, IBM y HP. Nada más que agregar por mi parte.
Todos son libres de decidir si creen o no en algo, obiamente esta lista es para personas que no tiene un grado de razonamiento sobre que es bueno o malo, utilicen un poco de materia gris.
Como nota, en cocaciones M$ no hace cosas tan malas, ame cambiar a XP, el lotro lado de la moneda es que aun sigo en XP y creo que solo cambiaria a OSX.
Juanma, con Firefox no! :D
No figura IE y es sospechoso despues de esto http://www.lagaceta.com.ar/vernota.asp?id_nota=305295 y tantas cosas más que sabemos sobre la cajetera de IE
Este es un listado más que requiere para su interpretación tener un mínimo de idea de lo que es seguridad. Sino terminas, cual fanboy, culpando a oscuros intereses de pretender perjudicar o beneficiar a alguien.
En primer lugar habría que mencionar que esta lista se refiere únicamente a cantidad de vulnerabilidades, no menciona ni gravedad ni los ya mencionados 0day (días entre el descubrimiento de la vulnerabilidad y la disponibilidad de una solución).
Por ejemplo, Huyi, no necesitas difamar a una empresa para encontrarle explicaciones a porqué no aparece IE en la lista. Ciertamente IE ha tenido menos vulnerabilidades pero las ha tenido más graves y con una mayor cantidad de 0day (hasta semanas debido a la política de actualizaciones de Microsoft) expuesta a ser aprovechadas por criminales y otras pestes de internet.
Si las páginas que tienen algún tipo de vínculo con Microsoft uno no debe creerles nada por ser supuestamente parciales ¿cuánto menos a aquellas que se declaran abiertamente anti-microsoft y pro-software libre?
La gente no sólo se mueve por dinero sino también por pretendidos ideales o fanatismos. No son pocos los sitios y las noticias pro-software libre que no son precisamente veraces. Es como si dijeras: vamos a hablar pestes de microsoft, para que la gente migre a la “libertad”.
¿No es cierto? “No importa, la cuestión es que abandonen Microsoft, lo hacemos por su bien”.
Los fanatismos son malos, no importa para donde apunten.
Ya no le hago caso a los estudios ni lo que dicen los “expertos”, me baso en la realidad. Firefox para MI es 1000% o mas veces mejor navegador (Nunca he probado Opera, pero me dicen que igual es bueno)
Lo que pasa con esta lista es que está muy bien hecha para difamar a Mozilla, un ejemplo seria el siguiente:
El día 25 de octubre de 2001, Microsoft saco un sistema operativo (XP) que, si excluimos algunos factores no muy importantes, es el mas seguro y estable de el mundo hasta el día de hoy.
En este caso se excluyen: Núcleo, Navegador, Interfaz Gráfica y siempre y cuando la PC este desconectada de internet, apagada y desconectada de la red eléctrica.
Las listas se realizan y se plantean según una metodología. Luego viene la interpretación. Firefox es la aplicación en Windows que tiene mayor número de vulnerabilidades, incluso más que IE ¿cierto o falso? CIERTO. ¿Es Firefox menos seguro que IE? NO, no lo es. ¿Por qué? Porque aunque tuvo mayor cantidad de vulnerabilidades su gravedad no lo era. Si clasificamos las vulnerabilidades descubriremos que sí sólo consideramos a las críticas o muy críticas Firefox no lidera esa lista.
Si yo presentara los resultados así ¿estaría haciendo un listado para favorecer a Mozilla? Según tu manera de pensar, SÍ. Desconfiar de los estudios sólo hará que la gente desconfíe e incluso llegue el momento en que ni siquiera crean la verdad cuando la encuentren. Crear desconfianza no favorece a nadie. Pero sí es legítimo interpretar los datos y aportar un enfoque diferente para entenderlos.
Por cierto, yo no soy partidario de considerar la seguridad en función únicamente del software (otra razón para que estos estudios no me impresionen), creo que el usuario tiene la principal responsabilidad de su seguridad. Los sistemas operativos y las aplicaciones pueden ser más seguras unas que otras. Pero es como en los autos, no importa cuán seguro sea un auto, la mayoría de los accidentes de tránsito siguen siendo por culpa de los choferes (alcohol, imprudencia, temeridad, etc).
La interpretación se la da la persona que lea la lista, porque la que lee el titulo solamente (a quienes no les importa los detalles de la lista), queda con la idea de que Firefox es un agujero de seguridad que parece navegador, es así.
Desconfiar de los estudios en general no, hay que ver de donde vienen (que tendencia tiene la empresa que lo publica, por ejemplo), cuando vienen (en que momento) y que factores (monetario o el que sea) pueden influir.
Total mente de acuerdo con el 3er punto de tu comentario, pienso igual. Nada que acotar.
Es como si para saber cual auto es mas seguro, se clasifique por los conductores.
Una real estupides, bah.
Yo no he dicho que la calidad del conductor determine la seguridad de un aunto ¿sabes leer?
Olvide mencionar, con personas que saben argumentar da gusto debatir, aunque no se esté de acuerdo en todo.
Con los que vienen y sólo dicen tonterías, como Manumandeb, es díficil, sino imposible. Para debatir se necesitan dos personas que sepan leer y analizar. No es mucho pedir.
Muy diferente sería que si no entiende mi analogía, pida una explicación. Si estoy equivocado no sabré como extender mi idea, si tengo las cosas claras puede hacerlo. Más nada.
Errata: No es “aunto” sino auto.
Yo también uso Firefox y no creo que esté más inseguro por usarlo, sino todo lo contrario. Comparto la idea de camelot de que todo depende de uno mismo. Firefox es más seguro que IE pero igualito uno puede infectarse si no tiene cuidado.
Lo mismo pasa con Linux o Windows, aunque a Linux no le entren virus hay otros problemas de seguridad como el pishing así que tampoco es para creerse muy seguros.
Dear Camelot:
Cuando yo comente algo respecto de lo que VOS comentaste, te vas a enterar porque va a estar dirijido hacia VOS como este comentario.
Yo se leer; vos?.
Yo entendí tu analogía; vos la mía?.
Si alguien se le ocurre mencionar la palabra auto, o realizar cualquier analogía usando como ejemplo a un auto, vas a pensar que se estan dirigiendo a vos?
Ya se que vos no dijiste que la “calidad del conductor determine la seguridad de un auto”. Y por qué lo se?, porque lo dije yo!
Demasiado (ci)EGO.
No hay que ser tan ingenuo y decir “Este es un listado más que requiere para su interpretación tener un mínimo de idea de lo que es seguridad. Sino terminas, cual fanboy, culpando a oscuros intereses de pretender perjudicar o beneficiar a alguien.” Si, si, palabras muy bonitas y con un toquecito (absolutamente necesario) de altanería.
Pero se te escapa que el X% de la gente que leyó “Firefox es la aplicación más vulnerable para windows” se quedó con eso. Y es exactamente lo que YO creo que se estaba buscando.
No se puede dejar como factor externo que la empresa que hace la lista…tenga intereses directos en la misma!.
Es muy facil manipular/dirigir resultados. No se puede negar que la encuesta es (como mínimo) tendenciosa.
Ya que sabes leer, leiste que la empresa que realizó la lista “de-una-manera-absolutamente-parcial” vende soluciones para empresas con sistemas Microsoft Windows? Y si lo leiste, te parece un dato menor?
Te tomaste el tiempo de ver la imagen que mandó Huyi en su comentario #14? Che, vos sabes leer en ingles también? Te fijaste que dice Block unwanted software y “oh, casualidad” está el logo de Firefox entre otros?. Y te parece un dato menor????
Totalmente de acuerdo con vos en que “los fanatismos son malos, no importa para donde apunten.”
Pero denfender lo indefendible (y con un mal coctel entre altanero y atruista) es peor!
La referencia a mi comentario es clara, la referencia a los autos no aparece en el artículo principal. Tú no haces ninguna analogía, intentas desvirtuar la mía sin comprenderla siquiera. Pero no me molesta.
Lo que si me parece extraño es termines tu comentario: “es una real estupidez”. ¿Qué es una real estupidez? El estudio, mi analogía, tú comentario (que ya sería de fábula que tú mismo te contradigas).
Si te parece altanero que te aclare las cosas, es porque no acostumbras que alguien te refute. Lanzar comentarios “al aire”, sin decir, en la cara con qué estamos de acuerdo y con qué no es muy cómodo, pero ese no es mi estilo. No me incomoda la discusión siempre que sea alturada.
Sobre tu pretendida respuesta: El título “Firefox es la aplicación más vulnerable de Windows” no aparece en el estudio original, es el títular de Bitelia y los otros que reproducen la noticia antes. Si a alguien quieres culpar de malinformar tendrías que comenzar con este artículo ¿a qué no te atreves?
Sobre las “evidencias” de la particialidad: Bit9 es un proveedor de soluciones de seguridad, interoperatibilidad y compatibilidad. Por tanto mantienen alianzas con varias empresas. Entre ellas Microsoft. ¿Será porque es el proveedor de los sistemas operativos de todos mis clientes? Y mira que Bit9 también es aliado de IBM, aliado y entusiasta promotor de Linux. Si algún día Bit9 habla mal de Microsoft habrá que suponer que lo hace por influencia de IBM. Si uno va por ahí prejuzgando los estudios por quienes los hicieron mal andamos. Por otro lado veo que en la página principal de Bit9 aparece Kaspersky como socio, que me parece que es más que aliado. ¿Me pregunto que interés tiene Kaspersky en todo esto? En fin, no estoy para esas paranoias.
Te reitero que esto no es una campaña contra Firefox, en todo caso sería contra todas las empresas que aparecen en su “top”, encima en el estudio no aparece en ninguna parte crítica alguna a Firefox en concreto. Ni siquiera es la aplicación con más vulnerabilidades en diciembre del 2008 sino Apple QuickTime, Safari e Itunes, y Adobe Flash Player y Acrobat. Encima en las recomendaciones tampoco dicen que retiren tales aplicaciones, sino que mantengan un buen control de las vulnerabilidades y sean cuidadosos… etc.
Como siempre, salvo mejor parecer.