A esta inquietante conclusión llega la compañía de seguridad Qualys (que no, no tiene nada que ver con cierta marca de margarina), en un informe presentado durante la conferencia RSA 2011. En esta presentación, mostraron los resultados de su estudio, basado en el uso de su herramienta de revisión en-línea gratuita QualysBrowserCheck , para Windows, Linux y MacOS durante el año pasado. La herramienta realiza una revisión del estado de la seguridad del usuario, revisando al navegador, entre Internet Explorer, Firefox, Opera, Chrome y Safari y 18 plug-ins de uso común.
PUBLICIDAD
Una de las conclusiones más interesantes que es que la mayoría de las veces que hubo vulnerabilidades, fue por tener plug-ins desactualizados cuando estos ya tenían versiones más recientes que corregían problemas de seguridad, siendo Java de Oracle el que tuvo más incidencias. Algunos expertos en seguridad, ante el alza de problemas de este tipo sufrido por Java, están comenzando a sugerir no instalarlo en primer lugar, si es posible.
En orden descendiente, Adobe Reader (32%), QuickTime (25%), Flash (24%), Shockwave (22%), y WMP (10%) fueron fuente frecuente de vulnerabilidades.
Según la presentación de Wolfgang Kandek, CTO de Qualys, mientras que el porcentaje de equipos vulnerables varió entre 65% y 90% desde Julio de 2010, en Enero de 2011 el 80% de las máquinas revisadas tenía por lo menos una vulnerabilidad relacionada con su navegador Web. El mismo expresó preocupación por la cantidad de sistemas en riesgo.
Y las cosas no se ven mejor si se piensa que a recursos como este escáner en-línea sólo llegan personas que tienen conciencia de la seguridad de sus equipos, que no es la mayoría de la gente.
PUBLICIDAD
Por último, también se ha observado una tendencia en los creadores de malware al adaptarse a esta tendencia y empezar a crear ataques enfocados más bien a los plug-ins. Por lo que esto debiese ser un llamado de atención, no sólo a los usuarios comunes, también para los administradores de TI de las empresas, que deben saber adoptar políticas de actualización más enérgicas.
Al probar el escáner por mi cuenta, tenía tres plug-ins desactualizados, por lo que debí descargarme las actualizaciones apenas pude. En casa de herrero…
Links:
4 in 5 surfers open to browser exploits from fixed flaws (The Register)
RSA USA 2011 Presentation on Browser Security (The Laws of Vuilnerabilities)
