Posteado por: Guaiqueri | Miércoles, agosto 3rd, 2011

Mozilla es el fabricante que menos tarda en resolver vulnerabilidades

Hemos realizado un estudio sobre once fabricantes para conocer cuánto tardan en corregir sus vulnerabilidades reportadas de forma privada. Sobre 1045 fallos, la conclusión es que la media global es de 177 días, mientras que RealNetworks tarda 321 días y Mozilla sólo 74.

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes “perciben” el peligro de utilizar ese software. En Hispasec hemos realizado un estudio sobre 1.045 vulnerabilidades de los fabricantes: Novell, HP, Microsoft, Apple, IBM, CA, Symantec, Oracle, Adobe, Mozilla y RealNetworks desde 2005.

Este es una actualización del estudio realizado en 2009. Si hace dos años se analizaron 449 vulnerabilidades desde 2005 hasta septiembre de 2009, ahora se amplía el cálculo desde 2005 hasta final de julio de 2011 con 1.045. Además, se añaden dos fabricantes a la comparativa: RealNetworks y Mozilla que curiosamente son el que peor y mejor media tienen respectivamente.
http://blog.hispasec.com/laboratorio/images/noticias/mediavulns.png

Algunas de las conclusiones del nuevo estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad es solucionada dos años después de ser descubierta, y otros en los que se tardan apenas unos días. La mayoría de las vulnerabilidades se resuelven antes de 6 meses (un 67,53%), pero aun así en cerca del 10% de los casos se necesita más de un año para arreglarlas.

Los resultados obtenidos se podrían clasificar en dos grandes grupos:

* RealNetworks, Oracle, IBM, HP y Microsoft que pasan de la media global.

* Novell, Apple, CA, Symantec, Adobe y Mozilla que bajan de la media global, destacando Mozilla como el que disfruta de la media más baja.

El 93% de las vulnerabilidades de Mozilla y el 83,60% de las de Novell, se corrigen antes de los 6 meses, mientras que RealNetworks y Microsoft lo consiguen solo en el 33,3 y 52% de los casos respectivamente.

Fuente: Hispasec

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: