18 gennaio, 2008

Il Rapporto 2007 di Secunia sulla sicurezza dei browser

di Percy Cabello

Secunia ha pubblicato recentemente il suo Rapporto 2007, un riassunto dello stato della sicurezza del software negli ultimi dodici mesi. Tuttavia, come accade di solito con la aziende di sicurezza, il rapporto è inconcludente.

Secondo le statistiche riportate nella sezione "browser web", Firefox ha avuto il maggior numero di vulnerabilità segnalate (64), seguito da Internet Explorer con 43 e da Opera e Safari, ciascuno con 14.

Per una panoramica più completa, Secunia ha anche riferito che Firefox non ha ancora fornito una patch per 3 degli 8 bug di sicurezza già divulgati, mentre Internet Explorer ha 7 bug senza una patch tra le 10 vulnerabilità già divulgate. Sui tempo di mancata copertura, le vulnerabilità divulgate di Internet Explorer rimangono in media senza soluzione per 173 giorni, mentre Firefox è in media sugli 88 giorni, un bella differenza ma nulla di cui essere orgogliosi.

Poi si passa al fattore "gravità" o quanto sarebbe stato pericoloso per un utente se una determinata vulnerabilità fosse stata sfruttata. Per tentare di assegnare una scala di valori al rischio di attacchi, ho assegnato arbitrariarmente 1, 2, 4 e 16 punti di "pericolosità" a ciascun livello di sicurezza usato da Secunia nel suo rapporto (nessun rischio, basso, moderato e altissimo rischio). Quindi li ho moltiplicati per il numero di giorni di "mancata copertura" per avere un'idea di quanto fosse stato vulnerabile ciascun browser nell'arco del 2007.

In questo esperimento, Firefox ottiene 876 punti di pericolosità, molti meno di Internet Explorer che ne totalizza 2684. E' un metodo accurato per valutare il grado di rischio di ciascun browser? Non credo, perché ho deciso che un bug ad "altissimo rischio" vi mette quattro volte più in pericolo rispetto ad un rischio moderato. Infatti, si è trattata di una scelta arbitraria. Vorrei che le aziende come Secunia, che si trovano in una posizione migliore nella stima dei rischi, fossero in grado di condurre uno studio per quantificare e determinare un indice di rischio del software.

Per quanto riguarda le vulnerabilità legate ai plugin dei browser, ActiveX (solo per Internet Explorer) è giunto primo con 339 vulnerabilità, seguito da QuickTime con 35, Java 21, Flashg 12, le estensioni di Firefox 6 e Widget (immagino solo per Opera) con 3.

Secondo il rapporto, il numero degli exploit ActiveX è così esorbitante probabilmente a causa di "Month of ActiveX Bug", un blog in cui si dava risalto alla poca sicurezza di ActiveX e che, per un mese intero, ha pubblicato almeno una vulnerabilità al giorno.

Per maggiori dettagli, potete leggere il Rapporto 2007 completo di Secunia.

Nessun commento: