Linacre's Blog

Life is a journey, like bike riding...

Windows: menos vulnerabilidades y menos días de riesgo

Windows: menos vulnerabilidades y menos días de riesgo

  • Comments 11
  • Likes

Jeff Jones publicó su nuevo reporte bianual analizando vulnerabilidades y “días de riesgo”, es decir el tiempo entre el conocimiento público de la brecha y la disponibilidad de la actualización, para sistemas Red Hat, Ubuntu, Apple y Microsoft.

Algunos quizás hayan visto este reporte en el pasado y sepan que Jones trabaja en Microsoft y construye este reporte empleando toda la documentación pública disponible por parte de los vendors, la base nacional de vulnerabilidades de Estados Unidos (NVD) y verificaciones cruzadas con otros sitios de seguridad como www.securityfocus.com, Bugtraq, www.secunia.com, www.securitytracker.com, entre otros.

Los hallazgos de este reporte me resultaron alentadores porque muestran que la práctica de comunicar ampliamente las vulnerabilidades y actualizaciones, como hicimos la semana pasada desde Microsoft, tiene un efecto positivo en mitigar el riesgo de ataques. Las principales conclusiones de la primera mitad del año son las siguientes:

  • Las 4 empresas resolvieron un total de 585 vulnerabilidades en el primer semestre. Un 26,8% afectó varias empresas y de esas, sólo 8 fueron resueltas en el mismo día. El restó tomó un promedio de 35 días entre la primera y última actualización disponible.
  • Microsoft tuvo la menor cantidad de días de riesgo en promedio con 24,22 días, 72 días menos que la segunda empresa en cantidad de días.
  • En sistemas de escritorio, Windows Vista tuvo la menor cantidad de vulnerabilidades en el semestre, con 21. El siguiente número más bajo fue Windows XP SP2 con 26.
  • Los clientes de Windows Vista recibieron mitigación parcial o total para 46% de las 26 vulnerabilidades que tuvo Windows XP SP2 en el período, pero también tuvieron una vulnerabilidad adicional en código nuevo.

Además de estas métricas para empresas y productos individuales, el reporte también provee un análisis ponderado por la severidad de los incidentes, donde vulnerabilidades menos críticas tienen un peso menor en la evaluación. El reporte completo en inglés puede descargarse de aquí.

Les comparto el resumen gráficamente:

image

Donde obviamente menos es mejor!

Como siempre, comentarios bienvenidos!

Saludos, Christian.-

Comments
  • PingBack from http://mstechnews.info/2008/10/windows-menos-vulnerabilidades-y-menos-dias-de-riesgo/

  • Nuestro buen amigo Christian Linacre publico el dia de hoy un excelente post sobre seguridad. Source

  • Excelente noticia la replicare en mi blog y para la comunidad.

  • @Juan Carlos,

    muchas gracias por los comentarios.

    Saludos, Christian.-

  • Hola a todos, escribe Christian Linacre para contarles que el día de hoy hemos liberado la quinta versión

  • Se que muchos ya están suscritos al Newsletter de Seguridad , pero para quienes aún no lo estén les comparto

  • Se que muchos ya están suscritos al Newsletter de Seguridad , pero para quienes aún no lo estén les comparto

  • Saludo fijate ala verdad estaba viendo la tabla esa pero en realidad windows es mas vulnerable que ubuntu y mac y RED HAT LINUX  como siempre microsoft siempre pone esas cosas para que los usuaeios deje de usar mac ubuntu pero yo soy usuario de ubuntu aunque avese siempre uso xp para trabajos mejor me que do con ubuntu 8.10 yes

  • Ubuntu es mas seguro que cualquiera de los dos y microsoft lo sabe. La comparacion la hace con ubuntu viejito, no con las versiones actuales asi que la noticia es como muy dudosa.

  • Nery, Juan,

    gracias por los comentarios.

    Si leen el estudio completo este dice claramente que está comparando el primer semestre del 2008.

    Como Ubuntu saco la versión nueva 8.04 LTS el 21 de Abril no se puede comparar con esa sino que con la anterior.

    El detalle sobre Ubuntu está en las páginas 22 a la 24 del reporte.

    Además una corrección, estoy hablando de Cantidad de Vulnerabilidades y Días de Riesgo, no de "Seguridad" que puede ser una métrica subjetiva.

    Los invito a leer el reporte en detalle y luego volver a comentar :)

    Saludos, Christian.

  • la verdad no hay como xp....vista quedara olvidado como los demas sistemas operativos, la idea es controlar el sistema operativo y no sentir que el nos controla xp lo mejor

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment