La empresa de seguridad Bit9 ha realizado un estudio sobre las principales aplicaciones utilizadas por usuarios y las vulnerabilidades de las mismas que han sido reportadas en lo que va de año.
Evidentemente los criterios de valoración en este tipo de listas pueden ser diversos y en consecuencia también los resultados finales obtenidos. Nos limitamos simplemente en esta entrada a reflejar la información que el mencionado informe refleja. En esta ocasión los criterios que se han seguido para seleccionar las aplicaciones a valorar han sido los siguientes:
· Las aplicaciones valoradas deben ser dirigidas a usuarios finales y no orientadas al ámbito empresarial.
· Las aplicaciones no deben ser consideradas como maliciosas por la comunidad de seguridad IT.
· Las aplicaciones deben contener, al menos, una vulnerabilidad crítica que cumpla las siguientes condiciones
o Reportada entre el 1 de Enero de 2010 y el 21 de Octubre de 2010
o Registrada en la base de datos NVD (National Vulnerability Database) del NIST (National Institute of Standards and Technology) y con un CVSS (Common Vulnerability Scoring System) comprendido entre 7.0 y 10.0.
El “top ten” (en realidad son 13 aplicaciones en total) está formado por las siguientes aplicaciones (mostradas de mayor a menor en función del número de vulnerabilidades reportadas):
1. Google Chrome
2. Safari
3. Microsoft Office
4. Adobe Acrobat y Adobe Reader
5. Mozilla Firefox
6. Sun JDK
7. Adobe Shockwave Player
8. Microsoft Internet Explorer
9. RealNetworks RealPlayer
10. Apple Webkit
11. Adobe Flash Player
12. Apple Quicktime y Opera, presentando el mismo número de vulnerabilidades
Para todos aquellos que estéis interesados en leer el informe completo de Bit9 podéis encontrarlo aquí.
Antes de cerrar el post, nos gustaría recordaros la importancia de tener actualizado el software instalado en nuestro sistema. En el caso de un entorno empresarial queremos recordar la importancia de tener un plan de control de las aplicaciones instaladas en los equipos con sus respectivas versiones para así poder realizar un seguimiento de las vulnerabilidades reportadas y publicadas que afecten a las mismas, con el fin de seguir el plan empresarial de actualizaciones y minimizar el tiempo de exposición de los equipos.
Enviado
nov 24 2010, 03:32
por
anolla