12 programas mais populares que carregam falhas de segurança grave

São Paulo, 01 de novembro de 2007 - O popular Yahoo Messenger encabeça a lista dos 12 programas considerados mais perigosos em termos de falhas de segurança. A empresa que vende tecnologia de controle de aplicações e dispositivos, Bit9 fez um ranking das aplicações mais procuradas, mas que ao mesmo tempo são as mais afetadas por brechas.

A companhia utilizou diversos critérios para determinar os integrantes da lista, entre eles, rodar em Windows, ser amplamente baixado e usado, não ser classificado como software malicioso pelos departamentos de informática das empresas de segurança, conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:
1. Yahoo Messenger, 8.1.0.239 e anteriores
2. Apple QuickTime 7.2
3. Mozilla Firefox 2.0.0.6
4. Microsoft Windows Live (MSN) Messenger 7.0, 8.0
5. EMC VMware Player (e outros) 2.0, 1.0.4
6. Apple iTunes 7.3.2
7. Intuit QuickBooks Online Edition, 9 e anteriores
8. Sun Java Runtime Environment (JRE) 1.6.0_X
9. Yahoo Widgets 4.0.5 e anteriores
10. Ask.com Toolbar 4.0.2.53 e anteriores
11. O driver da Broadcom para dispositivos wireless como o utilizado no Cisco Linksys WPC300N Wireless-N Notebook Adapter 3.50.21.10
12. Macrovision (antiga InstallShield) InstallFromTheWeb, sem versão

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=9335

Olá

kissdemon wrote:8. Sun Java Runtime Environment (JRE) 1.6.0_X

Colocar este X como versão seria o mesmo que dizer que TODAS as versões do Java são vulneráveis. Como nenhum site sério de segurança no mundo diz isto, só posso concluir que toda esta lista é idiota e nem preciso analisar os demais softwares.

[]s
Luca

JavaTeenager Membro desde: 11/10/2004 04:23:26 Mensagens: 172 Offline

Ow, I'm really scared!

Bacaninha a listinha, da uma olhada nessa aqui tb

Faltou o primeiro item, Microsoft X ehehehehe. Desculpe.

Pois é, não conheço essa tal de Bit9 a ponto de confiar em uma lista como essa, mas esse "X" realmente faz pensar que essa lista não deve ser levada a sério.
Entrei no site e achei um pequeno descritivo da empresa:

About Bit9, Inc.
Bit9, Inc. is the leading provider of application control and device control solutions. The company's award-winning, patent-pending whitelisting technology prevents malicious software and data leakage by centrally controlling which applications and devices can and cannot operate.

Unlike other application control and device control alternatives, Bit9 leverages the world's largest knowledgebase of application intelligence to achieve business-friendly whitelisting, enabling IT professionals to realize the highest levels of desktop security, compliance, and manageability. Founded in 2002 by the founders of Okena (acquired by Cisco Systems (NASDAQ: CSCO)) and headquartered in Cambridge, Massachusetts, Bit9 is a privately held company. For more information, visit http://www.bit9.com/.

[]´s

Carlos

Luca wrote:Olá

kissdemon wrote:8. Sun Java Runtime Environment (JRE) 1.6.0_X

Colocar este X como versão seria o mesmo que dizer que TODAS as versões do Java são vulneráveis. Como nenhum site sério de segurança no mundo diz isto, só posso concluir que toda esta lista é idiota e nem preciso analisar os demais softwares.

[]s
Luca

E se todas minor releases de fato forem, ate a data atual?

Rafael

mas essa lista nao deve ser levada a serio mesmo é obvio que bugs serão encontrados nas futuras JRE´s

Parece aqueles videntes que desvendam o obvio:

toda familia há algum tipo de problema

vc ja passou por algum tipo de problema na escola

vc ja passou por algum problema financeiro

Smalltalk Membro desde: 03/11/2007 17:26:35 Mensagens: 2 Offline

Já foi corrigidos as falhas no Sun Java Runtime Environment (JRE) 1.6.0_X

conforme artigo do IDG Now

http://idgnow.uol.com.br/seguranca/2007/10/04/idgnoticia.2007-10-04.9616728207/

Olá

Rafael Steil wrote:E se todas minor releases de fato forem, ate a data atual?

Teria algum alerta nos tradicionais sites de segurança descrevendo claramente as versões vulneráveis.

[]s
Luca

Olá

alfrben wrote:Já foi corrigidos as falhas no Sun Java Runtime Environment (JRE) 1.6.0_X

conforme artigo do IDG Now

http://idgnow.uol.com.br/seguranca/2007/10/04/idgnoticia.2007-10-04.9616728207/

Errado, o X costuma significar TODAS as versões e esta mensagem do link citado refere-se a versões anteriores à última que já foi ojeto de comentários no GUJ e na minha opinião, o administrador de redes que não assina notícias de sites de segurança e não atualiza imediatamente é irresponsável.

[]s
Luca

kissdemon wrote:...conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:
...
3. Mozilla Firefox 2.0.0.6
...

Ué, o Firefox é atualizado automaticamente, pq tá na lista?

JavaGuru Membro desde: 04/06/2006 13:50:18 Mensagens: 223 Offline

Apartir de 1.5 Java tambem tem atualização automatica!

dreamspeaker wrote:

kissdemon wrote:...conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:
...
3. Mozilla Firefox 2.0.0.6
...

Ué, o Firefox é atualizado automaticamente, pq tá na lista?

Pq nessa versão ta com pau =)
Porém já foi corrigido na versão nova =)

JavaEvangelist Membro desde: 14/11/2006 19:38:46 Mensagens: 371 Offline

Exato, ta todo mundo criticando a lista, mas não estão olhando as versões de cada programa avaliado.

Se hoje está corrigido ótimo, mas nem sempre foi assim.

Pq as pessoas se doem tanto quando surge algo negativo em relação ao Java?...Pessoas, vão se tratar que isso vai além de trabalho.

clodoaldoaleixo wrote:Exato, ta todo mundo criticando a lista, mas não estão olhando as versões de cada programa avaliado.

Se hoje está corrigido ótimo, mas nem sempre foi assim.

Pq as pessoas se doem tanto quando surge algo negativo em relação ao Java?...Pessoas, vão se tratar que isso vai além de trabalho.

Trabalhamos com Java e neste fórum, toda e qualquer notícia veiculada que tenha relação com Java, pode ser discutida pelo que sei. O que está sendo discutido aqui é a veracidade desta lista. Se for verdadeira, ótimo, porém merece ser discutida.
Agora, nós estamos aqui para uma conversa sadia, como vinha acontecendo. Se tem alguèm aqui que precisa se tratar, é você que não "troca o disco" e vem sempre com o mesmo papinho. Sempre agregando muito suas mensagens:

http://www.guj.com.br/posts/preList/72194/379413.java#379413
http://www.guj.com.br/posts/preList/70917/372442.java#372442
http://www.guj.com.br/posts/preList/69961/370079.java#370079
http://www.guj.com.br/posts/preList/70439/370074.java#370074
http://www.guj.com.br/posts/preList/70072/368496.java#368496
http://www.guj.com.br/posts/preList/70080/368495.java#368495

[]´s
Carlos

HelloWorld Membro desde: 18/05/2006 09:32:34 Mensagens: 11 Offline

A lista não pode ser séria, uma vez que o firefox tem atualização automatica, e o java tbm já possui atualização automatica. Portanto eles não deveriam aparecer na lista se um dos critérios foi justamente necessitar de atualização manual.

Além de não ter divulgado quais foram os teste realizados para determinar a lista, qual foi a falha que definiu sua colocação.

Todos software possuem falhas, e dizer que um software sem atualização automatica é mais vunerável do que o software que necessita ser atualizado manualmente é um erro, pois muitas vezes a versão mais nova apesar de resolver alguns bugs, acaba gerando outros, as vezes mais perigosos do que a versão anterior. Cabe ao especialista definir se a atualização vale ou não a pena.

Ainda se levar em conta a atualização não esqueça que o IE, possui um longo periodo antes de qualquer autalização, ou seja mesmo sendo automatica a sua atualização o período de espera é tão longo que suas deficiencias ficam sendo conhecidas até mesmo por noob`s, que tem a sua disposição um número enorme de ferramentas criadas por crackers, para que possam se achar o maximo ao se aproveitar de uma falha de segurança tão antiga.

Também nao foi definido se a maquina de testes, possuia firewall, antivirus ou qualquer sistema de defesa.

Por estes motivos, infelizmente não posso dizer que esta seja um a lista justa ou correta. Até mesmo porque a empresa trabalha justamente na área de segurança digital tentando vender suas soluções para os softwares descritos na lista.

E um bom dia a todos.

Notícias, artigos e o maior fórum brasileiro sobre Java