Seguridad: ¿es Firefox la aplicación más vulnerable?

Mientras la bit9 con una lista de las 12 aplicaciones más vulnerables en Windows [PDF] donde encabeza Firefox y solo en el puesto 12 aparece una aplicación de MSFT que, ni siquiera, es IE sino el Live Messenger.

Claro, el pequeño detalle que los medios no recogen (ni siquiera Neowin increíblemente) es que los criterios para estar en esa lista dejan fuera de la misma a casi todo producto de Microsoft, con lo que la lista pierde toda validez y seriedad ¿porque la publico entonces? Porque es típico que alguien va a poner "Firefox es la aplicación más vulnerable" cuando es, lisa y llanamente ridículo.

Esta es la lista completa ¿incluyendo a los productos de Seguridad de Norton?
1. Mozilla Firefox
2. Adobe Flash and Adobe Acrobat
3. EMC VMware Player,Workstation and other products
4. Sun Java JDK and JRE, Sun Java Runtime Environment (JRE)
5. Apple QuickTime, Safari and iTunes
6. Symantec Norton products (all flavors 2006 to 2008)
7. Trend Micro OfficeScan
8. Citrix Products
9. Aurigma Image Uploader, Lycos FileUploader
10. Skype
11. Yahoo Assistant
12. Microsoft Windows Live (MSN) Messenger

| Seguridad

25 thoughts on “Seguridad: ¿es Firefox la aplicación más vulnerable?

  1. Mariano fijate en la primer pagina del PDF que enlazas, bajo el titulo “Criteria for the Vulnerable Applications List”, se aclara que esa lista/top esta realizado teniendo en cuenta los siguientes criterios:
    – Corre bajo MS Windows
    – Es software conocido y frecuentemente descargado por los usuarios
    – No está clasificado como malicioso por las empresas y organizaciones de IT
    – Contiene al menos una vulnerabilidad critica que fue: reportada en Enero de 2008 o antes, y fue registrada por el NIST y fue calificada como de alta peligrosidad según los estándares actuales.
    – La ACTUALIZACION DECAE EN EL USUARIO EN LUGAR DE UN ADMINISTRADOR CENTRAL.
    – NO PUEDE SER ACTUALIZADO AUTOMATICAMENTE Y DE FORMA CENTRALIZADA vía MS SMS y WSUS.

    Y también dice que las aplicaciones fueron ordenadas según popularidad, número y severidad de las vulnerabilidades y la dificultad de detección y actualización de forma centralizada.
    Lo que para felicidad de los usuario de Firefox no sería el más vulnerable del mercado :P

  2. Al menos las vulnerabilidades se corrigen en días u horas, no como en otros casos, que lanzan un parche y en 2009 la “2da cuota” para solucionarlo…
    Otra cosa, al ver que en la lista no figura IE, esto se parece a la noticia de Symantec, cuando salio a decir que Windows era más seguro que cualquier sistema GNU/Linux…

  3. La seguridad en Firefox dependen en gran parte del usuario, igualmente que con Messenger.

    En el caso del MSN Messenger, el problema mas común es el de la foto que te mandan y si la aceptás te infecta y se propaga con tus contactos.

    En ese caso, Microsoft puede hacer dos cosas:
    1- No permitir transferencia de archivos lo que le sacaría una funcionalidad interesantísima al MSN.
    2- Ir bloqueando día a día las amenazas que aparecen, y el usuario tendría que andar actualizando siempre para poder chatear “seguro”. Sin mencionar que nuevas amenazas nacen día a día, por lo cual nunca se podría cubrir todo.

    Entonces me parece que ahí recae en el usuario, en ver que cosas acepta. Mismo con FF, una cosa es meterte en una página conocida que halla sindo infectada (como el caso de Facebook hace un tiempo, donde los vulnerables son los de FB no Firefox) y otro es que sigás links a páginas rusas con URLs extrañas, si te infectás en ese caso no es culpa del navegador sino del navegante.

    Un abrazo

  4. Qué pasa, Mariano. ¿Ahora eres investigador de seguridd y estás al tanto de las vulnerabilidades de todas las aplicaciones?. O simplemente eres una nena “odio a Microsoft” que se enoja porque un producto tan mediocre como Firefox resulta ser todo un agujero de seguridad.

    1. Martin,
      eso que decis vos es lo que dije yo al aclrar que los criterios para estar en esa lista dejan fuera de la misma a casi todo producto de Microsoft, con lo que la lista pierde toda validez y seriedad

      Javier,
      las aplicaciones son herramientas si vas a ponerte en fanatico defensor de alguna.. busca algun foro y se feliz ahi yo no critico a MSFT asi que, antes de quedar como idiota, no digas nada :)

      Sebastian,
      si no lo aclaras (como hice con el listado de reglas para formar la lista) se publican cosas tontaas como las de Neowin :)

  5. Qué más decir… la misma mierda de siempre!
    Información parcial, deformada, dibujada….
    Es importante difundir y clarificar lo más que se pueda porque los medios mediocres (¿valga la redundancia?) son más que los medios serios (¿la excepción a la regla?)
    Saludos.

  6. Javier
    “un producto tan mediocre como Firefox resulta ser todo un agujero de seguridad.”

    Se nota que no sabes de lo que hablas, que sos?
    Apple Fanboy? No creo, en muchos demuestran un poco de inteligencia y obvian comentarios estúpidos como el tuyo.
    MS Fanboy?
    Alguien con un poco de materia gris, y un buscador no diría eso.

  7. Juanito, pienso que va a ser mas facil para google sacarle mercado al IE que al Firefox, puedo estar equivocado pero al menos esa es mi opinion.
    Saludos.

  8. Mariano: la lista no pierde total validez ya que se esta aclarando que se dejan afuera los productos que consideran “actualizables y administrables de manera centralizada”, y es un “estudio” sobre el uso en entornos corporativos.

    1. la verdad supongo que muchas y muchas veces tambien lo hicieron con otras empresas… cuando veo estas “formas de integrar listados” YO los digo y me importa poco si estan siendo injustos con MSFT, Mozilla o Apple o Nokia… no puedo hablar de quien no se quejó pero yo, en general, me quejo de estas cosas como de los anti-msft (que en gral escriben sus quejas usando Vista Premium Super Pindonga Edition)

  9. no vale la pena ni citar esa nota, es de cuarta, cantidad vs. problemática, open vs closed source, etc. demasiados motivos como para considerar a Bit9 una empresa extremadamente insegura para consultar por software :)

  10. es un disparate esta claro, pero todas las compañias hacen este tipo de publicidad, todas todas, tienen medios a su lado y medios en contra de la competencia, en fin, no deberia sorprender tanto, en españa para ver disparates autenticos basta coger el Pais, el Mundo, y el ABC para echar unas risas, en fin, es una buena terapia.

Comments are closed.