Site Meter Os 12 softwares mais ‘vulneráveis’ de 2008 – por Bit9 - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Os 12 softwares mais ‘vulneráveis’ de 2008 – por Bit9

Os 12 softwares mais ‘vulneráveis’ de 2008 – por Bit9

  • Comments 4
  • Likes

O estudo feito pela Bit9 chama-se “2008´s Popular Applications with Critical Vulnerabilities”. O resultado do estudo, realizado chama-se de Dirty Dozen (traduzido como ‘12 mais sujos’).

Veja a lista:

1. Firefox 2.x/3.x (Mozilla)

2. Flash e Acrobat (Adobe)

3. VMware Player e VMware Workstation (VMware)

4. Java Runtime Environment (Sun)

5. QuickTime, Safari e iTunes (Apple)

6. Produtos Norton (Symantec)

7. OfficeScan (Trend Micro)

8. Produtos Citrix (Citrix)

9. Aurigma e Lycos (gerenciadores de imagens)

10. Skype (Skype)

11. Yahoo! Assistant (Yahoo!)

12. Windows Live Messenger (Microsoft)

No ano de 2008, apenas dez softwares foram colocados no estudo. Esse ano a lista contêm 12. Os critérios utilizados foram de que o software rode no Windows; conhecido no mercado; é alvo de muitos downloads pelo consumidor; não é classificado como produto malicioso pelas organizações de TI e empresas de segurança; contém no mínimo uma vulnerabilidade, descoberta a partir de janeiro de 2008 e registrada no NIST (instituto americano de padrões) com severidade classificada entre 7 e 10 no sistema CVSS; depende do usuário final, e não de uma administração central, para ser atualizado. 

Para o estudo completo:

http://www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf

 

Para fazer um ‘double check’ basta ir no site do NIST e comparar as vulnerabilidades. Um ponto no mínimo curioso aqui, é a percepção que temos. Muitos amigos, ao ver esse estudo não ‘acreditaram’ inicialmente (só depois do ‘double check’).

Percepção é quase realidade mesm... ;)

Comments
  • Este estudo da Bit9 foi muito criticado por toda comunidade de Segurança, o principal motivo é a ausência do Internet Explorer, e a desconsideração do fato de que os produtos listados lançaram muitas atualizações de segurança, enquanto outros, incluindo o IE, possuem várias atualizações conhecidas mas ainda não corrigidas - 9 vulnerabildades no Internet Explorer 7, por exemplo, como pode ser visto no site da Secunia:

    http://secunia.com/advisories/product/12366/

  • Oi Denis!

    Eu tinha visto esta lista. Quando verifiquei os produtos, dei de cara com:

    - O navegador que é principal concorrente do Internet Explorer

    - A ferramenta de virtualização q é a principal concorrente do Hyper-V

    - O dono do mercado em que o Silverlight está tentando entrar

    - Os players q ficaram famosos com o iPod, concorrentes do Windows Media Player

    - O principal concorrente da plataforma .NET

    Então no fim aparece o Live Messenger e seu principal concorrente, o Skype.

    No mínimo estranho, não?

  • Oswaldo, na lista de vulnerabilidades supostamente não corrigidas da Secunia eu não vi nenhuma vulnerabilidade crítica. Como o estudo da Bit9 se chama “2008´s Popular Applications with Critical Vulnerabilities", você acha que tem a ver?

    Alexandre, o que você acha estranho?

    Abraços, - Fernando Cima

  • Fala Alexandre,

    Ano passado só tinham 10 softwares a lista. Esse ano colocaram 12, e justamente o 12 é um software da MS, algo que também achei estranho.

    O Cima já comentou, só foram feitas análises em vulnerabilidades críticas (que podem comprometer o sistema remotamente, por exemplo).

    O comparativo dos browsers pode ser encontrado no site da NIST. Mesmo contando com os 9 unpatched, o IE foi o que menos teve falha desse tipo esse ano.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment