12 programas mais populares que carregam falhas de segurança grave

São Paulo, 01 de novembro de 2007 - O popular Yahoo Messenger encabeça a lista dos 12 programas considerados mais perigosos em termos de falhas de segurança. A empresa que vende tecnologia de controle de aplicações e dispositivos, Bit9 fez um ranking das aplicações mais procuradas, mas que ao mesmo tempo são as mais afetadas por brechas.

A companhia utilizou diversos critérios para determinar os integrantes da lista, entre eles, rodar em Windows, ser amplamente baixado e usado, não ser classificado como software malicioso pelos departamentos de informática das empresas de segurança, conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:

  1. Yahoo Messenger, 8.1.0.239 e anteriores
  2. Apple QuickTime 7.2
  3. Mozilla Firefox 2.0.0.6
  4. Microsoft Windows Live (MSN) Messenger 7.0, 8.0
  5. EMC VMware Player (e outros) 2.0, 1.0.4
  6. Apple iTunes 7.3.2
  7. Intuit QuickBooks Online Edition, 9 e anteriores
    8. Sun Java Runtime Environment (JRE) 1.6.0_X
  8. Yahoo Widgets 4.0.5 e anteriores
  9. Ask.com Toolbar 4.0.2.53 e anteriores
  10. O driver da Broadcom para dispositivos wireless como o utilizado no Cisco Linksys WPC300N Wireless-N Notebook Adapter 3.50.21.10
  11. Macrovision (antiga InstallShield) InstallFromTheWeb, sem versão

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=9335

Olá

Colocar este X como versão seria o mesmo que dizer que TODAS as versões do Java são vulneráveis. Como nenhum site sério de segurança no mundo diz isto, só posso concluir que toda esta lista é idiota e nem preciso analisar os demais softwares.

[]s
Luca

Ow, I’m really scared! :shock: Bacaninha a listinha, da uma olhada nessa aqui tb

Faltou o primeiro item, Microsoft X ehehehehe. Desculpe.

Pois é, não conheço essa tal de Bit9 a ponto de confiar em uma lista como essa, mas esse “X” realmente faz pensar que essa lista não deve ser levada a sério.
Entrei no site e achei um pequeno descritivo da empresa:

[]´s

Carlos

[quote=Luca]Olá

Colocar este X como versão seria o mesmo que dizer que TODAS as versões do Java são vulneráveis. Como nenhum site sério de segurança no mundo diz isto, só posso concluir que toda esta lista é idiota e nem preciso analisar os demais softwares.

[]s
Luca[/quote]

E se todas minor releases de fato forem, ate a data atual?

Rafael

mas essa lista nao deve ser levada a serio mesmo é obvio que bugs serão encontrados nas futuras JRE´s

Parece aqueles videntes que desvendam o obvio:
:arrow: toda familia há algum tipo de problema
:arrow: vc ja passou por algum tipo de problema na escola
:arrow: vc ja passou por algum problema financeiro

Já foi corrigidos as falhas no Sun Java Runtime Environment (JRE) 1.6.0_X

conforme artigo do IDG Now

http://idgnow.uol.com.br/seguranca/2007/10/04/idgnoticia.2007-10-04.9616728207/

Olá

Teria algum alerta nos tradicionais sites de segurança descrevendo claramente as versões vulneráveis.

[]s
Luca

Olá

[quote=alfrben]Já foi corrigidos as falhas no Sun Java Runtime Environment (JRE) 1.6.0_X

conforme artigo do IDG Now

http://idgnow.uol.com.br/seguranca/2007/10/04/idgnoticia.2007-10-04.9616728207/

[/quote]

Errado, o X costuma significar TODAS as versões e esta mensagem do link citado refere-se a versões anteriores à última que já foi ojeto de comentários no GUJ e na minha opinião, o administrador de redes que não assina notícias de sites de segurança e não atualiza imediatamente é irresponsável.

[]s
Luca

[quote=kissdemon]…conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:

3. Mozilla Firefox 2.0.0.6
…[/quote]

Ué, o Firefox é atualizado automaticamente, pq tá na lista?

Apartir de 1.5 Java tambem tem atualização automatica!

[quote=dreamspeaker][quote=kissdemon]…conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:

3. Mozilla Firefox 2.0.0.6
…[/quote]

Ué, o Firefox é atualizado automaticamente, pq tá na lista?[/quote]

Pq nessa versão ta com pau =)
Porém já foi corrigido na versão nova =)

Exato, ta todo mundo criticando a lista, mas não estão olhando as versões de cada programa avaliado.

Se hoje está corrigido ótimo, mas nem sempre foi assim.

Pq as pessoas se doem tanto quando surge algo negativo em relação ao Java?..Pessoas, vão se tratar que isso vai além de trabalho.

[quote=clodoaldoaleixo]Exato, ta todo mundo criticando a lista, mas não estão olhando as versões de cada programa avaliado.

Se hoje está corrigido ótimo, mas nem sempre foi assim.

Pq as pessoas se doem tanto quando surge algo negativo em relação ao Java?..Pessoas, vão se tratar que isso vai além de trabalho.
[/quote]

Trabalhamos com Java e neste fórum, toda e qualquer notícia veiculada que tenha relação com Java, pode ser discutida pelo que sei. O que está sendo discutido aqui é a veracidade desta lista. Se for verdadeira, ótimo, porém merece ser discutida.
Agora, nós estamos aqui para uma conversa sadia, como vinha acontecendo. Se tem alguèm aqui que precisa se tratar, é você que não “troca o disco” e vem sempre com o mesmo papinho. Sempre agregando muito suas mensagens:

http://www.guj.com.br/posts/preList/72194/379413.java#379413
http://www.guj.com.br/posts/preList/70917/372442.java#372442
http://www.guj.com.br/posts/preList/69961/370079.java#370079
http://www.guj.com.br/posts/preList/70439/370074.java#370074
http://www.guj.com.br/posts/preList/70072/368496.java#368496
http://www.guj.com.br/posts/preList/70080/368495.java#368495

[]´s
Carlos

A lista não pode ser séria, uma vez que o firefox tem atualização automatica, e o java tbm já possui atualização automatica. Portanto eles não deveriam aparecer na lista se um dos critérios foi justamente necessitar de atualização manual.

Além de não ter divulgado quais foram os teste realizados para determinar a lista, qual foi a falha que definiu sua colocação.

Todos software possuem falhas, e dizer que um software sem atualização automatica é mais vunerável do que o software que necessita ser atualizado manualmente é um erro, pois muitas vezes a versão mais nova apesar de resolver alguns bugs, acaba gerando outros, as vezes mais perigosos do que a versão anterior. Cabe ao especialista definir se a atualização vale ou não a pena.

Ainda se levar em conta a atualização não esqueça que o IE, possui um longo periodo antes de qualquer autalização, ou seja mesmo sendo automatica a sua atualização o período de espera é tão longo que suas deficiencias ficam sendo conhecidas até mesmo por noob`s, que tem a sua disposição um número enorme de ferramentas criadas por crackers, para que possam se achar o maximo ao se aproveitar de uma falha de segurança tão antiga.

Também nao foi definido se a maquina de testes, possuia firewall, antivirus ou qualquer sistema de defesa.

Por estes motivos, infelizmente não posso dizer que esta seja um a lista justa ou correta. Até mesmo porque a empresa trabalha justamente na área de segurança digital tentando vender suas soluções para os softwares descritos na lista.

E um bom dia a todos.

Uma lista confiável é a do CERT:

Sun Java JRE vulnerable to unauthorized network access
Sun Java System Web Proxy Server fails to properly process malformed packets
Java Runtime Environment Image Parsing Code buffer overflow vulnerability
Sun Microsystems Java GIF image processing buffer overflow