- Otras noticias
Stuxnet, relacionado con al menos cuatro virus más
Foxit Reader y FreeType, afectados por la vulnerabilidad que está permitiendo el jailbreak del iPhone
Cross site scripting en phpMyAdmin
Encuentran diversas vulnerabilidades en Cisco Secure Desktop.jpg)
El virus más pícaro, el más parlanchín y el más educado
Sobre la instalación obligatoria de Safari.jpg)
Consejos para elegir su contraseña
La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido
Los errores tipográficos en las direcciones de correo mal escritas abren brechas de seguridad
Alertan de un gusano malicioso en "Facebook"
- En el foro
-
eterno debate
Firefox vs. Internet Explorer, ¿cuál es más seguro?
27 Sep 2005 | HISPASEC.COM
Este tipo de informes cuantitativos siempre se presta a debates
donde cada parte implicada hace su propia lectura interesada.
Vamos a intentar ver desde un punto de vista objetivo que dice el
informe de Symantec, partiendo de que en el equipo de Hispasec se utiliza indistintamente ambos navegadores entre otros, conviven
varias plataformas, sistemas operativos, y no mantenemos intereses
con ningún desarrollador de software.
Por un lado el informe de Symantec pone de relieve que durante el primer semestre de 2005 Mozilla ha reportado 25 vulnerabilidades en sus navegadores, mientras que Microsoft en ese mismo periodo ha confirmado 13 vulnerabilidades en Internet Explorer. Eso es un dato objetivo que en principio inclinaría la balanza claramente a favor de Internet Explorer.
Si en vez de quedarse en ese dato se sigue leyendo el informe, en
el mismo encontramos que de las 25 vulnerabilidades de Mozilla
8 de ellas fueron consideradas de alto riesgo, el mismo número que en el caso de Internet Explorer, también 8 de alto riesgo. En este punto ambos quedarían en tablas.
Un dato no cuantitativo del informe, pero no menos importante, revela que sólo se han detectado incidentes de explotación masiva de las vulnerabilidades reportadas en el caso de Internet Explorer, y no en ningún otro navegador. Aquí se refleja que la navegación con Firefox es más segura que con Internet Explorer.
Llegados a este punto del informe de Symantec se puede concluir que en lo que va de año se han publicado oficialmente más vulnerabilidades de Firefox que de Internet Explorer. En cuanto a las vulnerabilidades de alto riesgo, ambos se encuentran emparejados. Mientras que a efectos prácticos, en el mundo real y no en un plano teórico, navegar con Internet Explorer resulta más peligroso ya que los ataques se siguen dirigiendo de forma mayoritaria al navegador de Microsoft.
El que los atacantes decidan fijar su atención más en Internet
Explorer que en Firefox poco tiene que ver con la facilidad de
explotación en aplicaciones de código abierto o cerrado. De hecho, publicado un parche, sin haber transcendido detalles sobre como explotar la vulnerabilidad, siempre es más fácil desarrollar el exploit para una aplicación de la que se tiene acceso al código y que fomenta el full-disclosure, en vez de tener que recurrir a la ingeniería inversa como ocurre en casos de aplicaciones cerradas con políticas más restrictivas en la publicación de vulnerabilidades.
Sin embargo éste no parece ser un handicap importante para los
atacantes, y así lo demostrarían los tiempos de desarrollo y
publicación de exploits en ambos casos. En el informe de Symantec, por ejemplo, se da como media que el tiempo entre que se publica una vulnerabilidad y desarrollan el exploit ha descendido a 6 días, mientras que sitúa la media en 54 días el tiempo que transcurre entre la aparición de una vulnerabilidad y la publicación del parche, lo que abre una ventana de 48 días donde los sistemas pueden ser vulnerables.
¿Por qué los atacantes enfocan en el navegador de Microsoft?
La respuesta es obvia, simplemente es el navegador que tiene mayor cuota de mercado con diferencia, y los atacantes siempre buscan el máximo rendimiento a sus fechorías. Si cambiaran las tornas y Firefox tuviera mayor cuota de mercado, tal y como está la seguridad de ambos navegadores, lo lógico es que el que sufriera más ataques fuera Firefox.
En cuanto al revuelo suscitado con el informe de Symantec respecto a la seguridad de los navegadores, se trata de lecturas interesadas. Ya que el fin del mismo es ofrecer unas estadísticas globales, y en ningún caso se trata de una metodología pensada para una comparativa entre navegadores.
De hecho existen otros indicadores, no recogidos en el informe de Symantec, que debieran tenerse en cuenta en una hipotética comparativa de seguridad entre Firefox e Internet Explorer. Por ejemplo, entre otros:
- Tiempo de reacción en publicar los parches tras detectarse una
vulnerabilidad.
- Vulnerabilidades publicadas no corregidas.
- Tecnologías aprovechadas por el malware.
El tiempo de reacción es obvio que tiene una repercusión directa en la seguridad de los navegadores. Si atendemos por ejemplo al dato facilitado de media en el informe de Symantec, que sitúa en 6 días el desarrollo de exploits tras publicarse una vulnerabilidad, todo tiempo adicional que transcurra en la publicación del parche supone una ventaja para los atacantes en perjuicio de los usuarios. Por ello es muy importante que la política de parches del desarrollador sea diligente.
En este apartado podemos referenciar a eEye, que mantiene un listado de vulnerabilidades no publicadas que han sido reportadas por su laboratorio a los fabricantes de software a la espera de un parche. En este listado podemos encontrar que Microsoft mantiene 10 vulnerabilidades reportadas sin parchear.
Por ejemplo, la primera de la lista es considerada crítica por
permitir ejecutar código de forma remota, fue reportada a Microsoft el 29 de marzo de 2005, transcurriendo a día de hoy 121 días sin que aun haya publicado la correspondiente actualización para corregirla.
Upcoming Advisories
www.eeye.com/html/research/upcoming/index.html
El segundo punto también es vital, ya que las vulnerabilidades no
deben contabilizarse en función de los parches oficiales publicados (como lo hace el informe de Symantec), de lo contrario se podrían dar situaciones absurdas.
Por ejemplo, en el hipotético caso de que yo fuera un desarrollador de software al que le han detectado 10 vulnerabilidades y hago caso omiso a los avisos, y no publico ningún parche, en el informe de Symantec aparecería con 0 vulnerabilidades.
Al hilo de este indicador podemos ver algunos datos gracias a Secunia, según la cual Internet Explorer mantiene 19 vulnerabilidades sin corregir, frente a Firefox que tiene sólo 3. Ninguna de estas vulnerabilidades han sido tenidas en cuenta en el informe de Symantec.
Vulnerabilidades en IE
Vulnerabilidades en Mozilla Firefox
Por último también hay que hacer mención a ciertas tecnologías que, sin contar con vulnerabilidades específicas, son aprovechadas por los atacantes. Un ejemplo representativo lo podemos encontrar en la tecnología Active-X de Internet Explorer, muy utilizada en la instalación de dialers, troyanos, spyware y adware a través de la web.
Dicho todo lo anterior, y aun partiendo de la base de que hoy día es más seguro navegar con Firefox porque los ataques van dirigidos
mayoritariamente a usuarios de Windows e Internet Explorer de manera independiente a la seguridad intrínseca de cada navegador, el principal origen de incidentes es la falta de actualización.
La mayoría de los exploits utilizados en la web para infectar los
sistemas con malware están desarrollados para vulnerabilidades ya
corregidas por los últimos parches de seguridad. En el caso de Internet Explorer, por ejemplo, existe un gran parque de usuarios que siguen utilizando una versión 5.X. También ocurre con Firefox, si bien el volumen es menos considerable porque su difusión es menor, y eso los atacantes lo tienen en cuenta.
Tanto Mozilla como Microsoft, además de mejorar por diseño sus
navegadores, respecto a los parches deberían acelerar su publicación, mejorar la calidad de los mismos, y especialmente facilitar mecanismos para su notificación automática e instalación. De poco sirve publicar parches si finalmente los usuarios no los aplican.
Desde Hispasec concluyen que ambos navegadores están dedicando recursos y esfuerzos por mejorar su seguridad, y que esta competencia redunda en beneficio de los usuarios. La seguridad es un proceso, y el estado actual de las cosas no va a permanecer estático. No se debe hablar en términos absolutos de si un navegador es más seguro que otro, son muchos los factores, algunos externos al propio desarrollo del navegador, los que pueden ir inclinando la balanza a uno u otro lado a lo largo del tiempo.
De manera independiente al navegador que decida utilizar, no en vano es una opción personal que depende de más factores que el de la seguridad, la recomendación de Hispasec es que preste especial atención a su actualización. Y que, en cualquier caso, debemos hacer esfuerzos en convertir el principal talón de Aquiles, que no es otro que el factor humano, en un aliado más de la seguridad. La tecnología más segura puede suponer un riesgo si no se utiliza de forma adecuada.
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
De acuerdo, todos sabemos que la perfección es una utopía y más cuando tocamos el tema del desarrollo de software, vamos que es muy dificil realizar una aplicación 100% segura o deberíamos decir perfecta y sin fallo alguno.
Ese no es tema que más nos debería importar, sabemos que continuamente aparecen parches que corrigen automáticamente el entuerto. Ahora bien, el auténtico problema viene cuando se descubren las vulnerablilidades pero el parche no es liberado hasta mucho más tarde o incluso corrige el problema pero crea otro que provoca otra nueva vulnerabilidad.
Aquí como en todo existe la variable tiempo y con esto me refiero al intervalo entre que una vulnerabilidad es descubierta y el parche es liberado. Tomando este planteamiento llegamos a la asombrosa conclusión, muy lejos de la exposición del artículo, que destapa lo siguientes resultados (no recuerdo la publicación):
- IExplore fue vulnerable el 98% del año 2004, FFox el 15%.
Cada cual que decida por sí mismo.
Perdón pues el artículo muestra claramente el factor tiempo, si es que no se puede mezclar prisas con parientas, jeje.
Ciao!!!
Lo siento por IExplorer pero me kedo con Mozilla FIrefox 3.0. He podido leer en decenas de revistas de informatica donde se realizan pruebas a ambos navegadores, y en todos se decia lo mismo: "Mozilla consume hasta 3 veces menos memoria q IExplorer, aun cuando cierras IExplorer, sigue consumiendo memoria del ordenador, mientras q Mozilla libera el 90 % del la q utilizaba".
Eligan ustedes... YO lo tengo claro.
¡¡¡ CON FIREFOX AL FIN DEL MUNDO !!!
Se mil veces Mozilla Firefox
Mozilla Firefox+Goolge a fulll!!!
JAJAJAAA, SYMANTEC Y SU NORTON... FAMOSOS POR INUTILES, ESA INFORMACION NO TIENE CREDIBILIDAD, CUAL ANTIVIRUS ES EL MEJOR... ¿NORTON? O LOS DEMAS... LA VERDAD NO LO SE. NO LOS USO YA. PORQUE LA MAYORIA DE VIRUS SON PARA WINDOWS.
VVVVVVIIIIVVVAAA ELLLLL FFFFFFIRRRRRRRRRREEEEEEEEFFFFFFOOOXXXXXXXXX
LARGA VIDA AL ZORRITO DE FUEGO
definitivamente mozilla fire fox
como dijo pablo LARGA VIDA AL ZORRITO DE FUEGO
firefox!
soys todos unos tontos de mierda
me corro con el jacob pordiosssssssssssssssssss *__*