di Percy Cabello
Symantec ha pubblicato il suo ultimo rapporto sulle minacce alla sicurezza su Internet che fornisce una discreta quantità di informazioni sullo stato attuale della sicurezza.
Secondo quanto scritto, i browser basati su Mozilla, tra i quali Firefox, hanno totalizzato la fetta più ampia delle vulnerabilità documentate, sia quelle ammesse che quelle smentite dal produttore, con la cifra incredibile di 88 falle (19 di gravità media, 69 di gravità bassa), quattro volte il numero di quelle riportate da Safari. Internet Explorer segue con 18 e Opera chiude con solamente 12.
Tuttavia, stando alla pagina delle vulnerabilità riconosciute della Mozilla Foundation, sono state risolte 22 falle di sicurezza tra Firefox 2.0.0.5 e Firefox 2.0.0.11 (le versioni del browser considerate dal rapporto, pubblicate nel periodo luglio-dicembre 2007). Lo stesso numero riportato da Secunia, e quindi non capisco come Symantec ne abbia contate 88 anche perché il rapporto non cita alcuna fonte.
Una possibile spiegazione è un conteggio doppio. Infatti il rapporto si riferisce ai browser basati su Mozilla e non al solo Firefox e quindi potrebbero essere state conteggiate le vulnerabilità presenti in Firefox e oltre alle stesse vulnerabilità presenti in SeaMonkey, Flock e Camino. Questo spiegherebbe molte cose ma significherebbe anche che il rapporto è stupidamente fuorviante.
Ma il conteggio (o il doppio conteggio) delle vulnerabilità è solo una faccia della medaglia. Un altro importante fattore di rischio è il periodo di esposizione alle vulnerabilità documentate. Stando al rapporto, gli utenti Internet Explorer sono stati esposti a queste vulnerabilità in media per 11 giorni, mentre gli utenti dei prodotti basati su Mozilla solo 3 giorni.
In questo caso, Safari batte tutti con meno di un giorno.
Sul fronte dei plugin dei browser, ActiveX è responsabile per il 79% di tutte le vulnerabilità relative ai plugin stessi, seguito da QuickTime (88%), Java (5%) e Flash (5%). Cosa interessante è che le estensioni di Mozilla, con solo una vulnerabilità, sono scomparse come fonte significativa di falle di sicurezza. Dobbiamo comunque tenere presente che l'utilizzo delle estensioni di Firefox è più limitato rispetto agli onnipresenti Flash e Java.
Anche il plugin di Adobe Reader è stato scartato e Windows Media Player è entrato in classifica con un giusto 2%.
Il rapporto, a pagina 36, conclude così:
La crescita delle quote di mercato di browser come Mozilla Firefox è un elemento trainante dell'aumentata attenzione dei ricercatori di sicurezza. Tuttavia, questo non porta necessariamente ad una maggiore attività di attacco. Anche se Internet Explorer è stato soggetto ad un numero minore di vulnerabilità inerenti al browser in confronto a Mozilla, le attività di exploit indicano che è ancora la porta d'ingresso per vulnerabilità di terze parti che colpiscono ActiveX e altre tecnologie di plugin per i browser.E inoltre:
La pubblicazione di Internet Explorer 7 ha incluso dei miglioramenti alla sicurezza per limitare lo sfruttamento delle vulnerabilità di ActiveX. Comunque, tutto ciò non sembra aver ridotto la prevalenza di questo tipo di vulnerabilità e questo potrebbe essere una misura dell'efficacia di questi miglioramenti alla sicurezza o potrebbe indicare che molti utenti a rischio non hanno ancora aggiornato ad Internet Explorer 7.
Nessun commento:
Posta un commento