SO y aplicaciones más vulnerables en 2014

Como hemos reportado a lo largo de todo el año pasado, y según pueden revisar en nuestro resumen de amenazas de 2014, los reportes de vulnerabilidades en sistemas y aplicaciones fueron moneda corriente y pusieron en riesgo la información de muchas empresas y usuarios.

De hecho, se reportó un promedio de 19 vulnerabilidades por día en 2014, según datos de National Vulnerability Database (NVD). Y en base a eso la compañía GFI analizó los principales puntos en común, para evaluar cuáles fueron los sistemas operativos más vulnerables, y concluyó (entre otras cosas) que se trató de Mac OS X.

En total, 7.038 nuevas vulnerabilidades se agregaron a la base de datos de NVD en ese período, lo que constituye un aumento del 65% respecto al número de 2010 (4.258 ). El crecimiento en el número de fallas reportadas creció año a año, y todo indica que seguirá haciéndolo.En cuanto a la severidad, en el 24% de los casos fue alta; y si bien esto constituye un crecimiento en su porcentaje respecto a 2013, el número real ha crecido.

Para entender mejor el tema de la severidad, recordemos que para determinarla se utiliza el sistema CVSS. Para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. La severidad se considera baja si el puntaje obtenido luego de aplicar la fórmula CVSS resulta entre 0.0 y 3.9. El impacto es medio si el resultado se ubica entre 4.0 y 6.9. Se considera alto cuando el puntaje cae dentro del rango 7.0 y 10.0.

Y ¿qué hay de las fuentes? En el 80% de los casos se originaron en aplicaciones de terceros, siendo solo en el 13% responsabilidad de sistemas operativos y dispositivos de hardware solo en el 4%.

Pero quizás lo más impactante sea lo relativo a sistemas operativos, como mencionamos más arriba. En resumen, Mac OS X de Apple fue el que más vulnerabilidades registró (un total de 147 en todo 2014) y también el que tuvo el mayor número de vulnerabilidades de severidad alta (64). De esta forma, se posicionó por encima de su "primo mobile" iOS, que registró 127 fallas en todo el año, y superó a distintas versiones de Windows.

Como apunta Cristian Florian en su informe, el 2014 fue duro para los usuarios de Linux en lo que refiere a seguridad, si recordamos casos que aquí reportamos como aquella vulnerabilidad de 5 años de antigüedad que afectaba a la mayoría de las distribuciones del sistema operativo. Radicaba en su kernel y permitía, entre otras cosas, la ejecución de código arbitrario y la elevación de privilegios. Y hacia fin de año nos encontramos con GHOST, otra grave vulnerabilidad de 10 años (en la librería glibc de Linux) que permitiría a un atacante tomar remotamente el control de un sistema sin conocer las credenciales de acceso. Por supuesto, las "célebres" Heartbleed y Shellshock también afectaron a usuarios de Linux, en el primer caso porque afectaba a OpenSSL y en el segundo porque afectaba a GNU Bash.

De este análisis se desprende que Internet Explorer es, de lejos, el navegador más vulnerable del mercado. En la parte de los plugins no se salva ninguno y Flash, Java y Adobe Reader revientan en montones de sitios. Ante eso estamos igual de expuestos los usuarios de Mac OS X y Linux, ventajas de que el malware también sea multiplataforma

Contenido completo en fuente original We Live Security y Security by Default