Total Security - www.totalsecurity.com.br
Segurança
Sexta - 18 de Janeiro de 2008 às 17:04
Por: Luiz Celso

    Imprimir


No relatório, a Secunia também critica a Computer Associates (CA) pela qualidade nos códigos de seus antivírus, afirmando que os problemas estariam expondo os produtos da CA a vulnerabilidades.

A Secunia verificou que a CA foi a líder no número de vulnerabilidades entre as empresas, com 187 ao longo do ano, seguida pela Symantec com 73, Trend Micro com 34, ClamAV com 15, MacAfee com 13 e F-Secure com 6.

Os altos índices da Symantec e da CA são atribuídos a sua variedade de produtos, afirma a Secunia. Contudo, a maioria das falhas da CA estava relacionada “aos problemas nos códigos de alguns produtos”, afirma o relatório (em pdf).

Alguns problemas estão relacionados aos produtos ARCServe Backup para laptops e desktops. A Secunia submeteu esses programas a análises binárias após o anúncio de que algumas falhas foram corrigidas.

A análise descobriu que cerca de 60 falhas ainda estavam presentes. E mais, a análise aponta que o problema estava relacionado “à natureza do produto”.

“A não ser que o código seja revisto, o produto permanece inseguro contra vulnerabilidades similares”, observa a Secunia

A CA afirma em uma nota que toma medidas rigorosas de controle de qualidade para seus softwares.

Um número de vulnerabilidades encontradas nos produtos da Symantec estava relacionado a softwares de terceiros, afirma a Secunia. Uma delas é o Autonomy Keyview SDK (kit de desenvolvimento de software), que é utilizado no Symantec Mail para visualizar arquivos Lotus 1-2-3.

O componente gerou um alerta de falha crítica no dia 12 de dezembro, mas ainda não foi atualizado, deixando alguns produtos da Symante vulneráveis.

A Symantec afirma em uma nota que publicou instruções para suavizar o problema e emitiu atualizações para algumas empresas. A IBM, que utiliza o Lotus Notes e também foi afetada pela falha Autonomy, publicou sua própria atualização.

Sistemas operacionais e browsers
Os sistemas operacionais monitorados pela Secunia incluem o Windows (98 e superiores), Mac OS X, HP-UX 10.x e 11.x, Solaris 8, 9 e 10 e o Red Hat (sem incluir o Fedora). O Red Hat foi o que apresentou mais vulnerabilidades ao longo do ano (633) com 99% delas em componentes de terceiros. As distribuições Linux geralmente são compostas por softwares de terceiros, que são integradas pelo distribuidor.

A Red Hat refutou a pesquisa, afirmando que o número correto de vulnerabilidades deveria ser 404 para 2007.

O Solaris fica em segundo lugar, com 252 falhas e 80% delas relacionadas a componentes de terceiros. Em terceiro está o Mac OS X, com 235 e 62% relacionadas a componentes de terceiros.

O Windows teve somente 123 falhas, mas 96% delas estavam relacionadas diretamente ao sistema operacional. O HP-UX relatou 75 falhas, sendo que 81% delas estavam relacionadas a códigos de terceiros.

Na semana passada, o Departamento de Segurança Nacional dos Estados Unidos descobriu que para cada 1000 linhas de código há uma falha de segurança, isto em 180 projetos de código aberto amplamente utilizados.

O número de vulnerabilidades do Red Hat está associado ao alto valor e à variedade de componentes que o sistema possui.

“O Rad Hat contém dois browsers e interfaces gráficas, um bom número de leitores PDF e editores de imagem”, afirma o relatório. “Red Hat, HP-UX e Solaris podem ser facilmente usados como servidores, assim sendo, incluem suporte a um grande número de componentes de terceiros, o que não pode ser feito em todas as versões de Windows e Mac OS X”.

Qualquer consideração relacionada com a segurança dos sistemas operacionais deve atentar para fatores não averiguados no relatório, como o tempo de atualização para as vulnerabilidades, afirma a Secunia.

No campo dos browsers o Firefox toma a dianteira com 64 falhas, em comparação com as 43 do Internet Explorer e as 14 do Opera e Safari.

No que tange ao browser Firefox (Mozilla), o relatório mostra que ele foi atualizado mais rapidamente que o Internet Explorer (Microsoft).

Entre as oito falhas zero-day anunciadas em 2007 para o Firefox, cinco foram atualizadas , sendo três delas em menos de uma semana. De dez falhas zero-day no Internet Explorer, somente três foram atualizadas e o tempo mais curto de atualização foi de 85 dias.

O ActiveX foi atingido pelo maior número de falhas de browser em 2007, com 399 falhas (em comparação a 45 de 2006), afirma a Secunia.

As descobertas se apóiam na campanha uma falha por dia em controles ActiveX em maio de 2007, além da descoberta de uma vulnerabilidade em um componente ActiveX usado em 40 diferentes produtos.

O Quicktime segue com 35 falhas e o Java com 21.


Fonte: PC WORLD




Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/2128/visualizar/