A empresa de segurança Bit9, dona de um pacote de aplicativos capaz de identificar e impedir a instalação de aplicativos desconhecidos e programas maliciosos, divulgou um relatório com as 15 aplicações mais problemáticas de todos os tempos, em uma tentativa de reduzir os riscos de segurança em empresas que acreditam que softwares maliciosos como spywares e vírus são as únicas ameaças a se enfrentar.
Para criar a relação, disponível para download em PDF através do atalho http://www.bit9.com/docs/15VulnerableApps.pdf , alguns requisitos foram seguidos. Todos os softwares listados deveriam ser softwares famosos, freqüentemente baixados por usuários; não podiam ser classificados como softwares maliciosos por empresas de segurança; deveriam ter pelo menos uma vulnerabilidade crítica registrada pelo NIST, instituto americano de padrões e tecnologia; ter uma pontuação entre 7 e 10 no ranking da CVSS, espécie de “placar” de vulnerabilidades; e oferecer ao usuário mediano possibilidade de atualização, em vez de centralizá-la apenas no administrador da rede.
De acordo com a Bit9, o aplicativo que mais apresenta falhas de segurança é o Mozilla Firefox 1.0.7, o que não representa a versão atual do sistema, pois os bugs que colocaram a dita versão do navegador gratuito nesta posição já foram resolvidos. A versão 6.02 do programa iTunes e o Quicktime 7.0.3 figuram na segunda posição da lista, enquanto a versão 1.4 do programa Skype ocupa o terceiro lugar.
Mesmo existindo por trás dessa lista uma intenção clara de vender o principal produto da Bit9, capaz de limitar a instalação de certos softwares no sistema, a lista é um bom guia para aqueles que não possuem o hábito de atualizar com freqüência seus softwares, prática imprescindível para a segurança de sistemas, principalmente em ambientes coorporativos.
Confira a lista completa das 15 aplicações mais vulneráveis:
Mozilla Firefox 1.0.7
Apple iTunes 6.02 e Quicktime 7.0.3
Skype Internet Phone 1.4
Adobe Acrobat Reader 7.02, 6.03
Sun Java Run-Time Environment (JRE) 5.0 Update 3 e 1.4.2_08
Macromedia Flash Player 7
Winzip Compression Utility 8.1 SR-1
AOL Instant Messenger 5.5
Microsoft MSN Messenger 5.0
Yahoo Instant Messenger 6.0
Sony / First 4 Internet DRM Rootkit & Uninstaller (todas as versões)
BitDefender anti-virus client 9
Kazaa peer-to-peer client 2.0.2
RealPlayer Media Player 10
ICQ Chat Client 2003a
Para explicações, em inglês, baixe a lista completa no PDF indicado acima, que contém cada uma das vulnerabilidades encontradas listada em suas páginas.
Multiple vulnerabilities including memory corruption, buffer
overflows, errors in garbage collection, and running of arbitrary
HTML and Javascript code that in many cases allow the
execution of arbitrary code.
MSN
Buffer overflows related to PNG image processing can be
Windows/MSN exploited to allow a remote attacker to execute arbitrary code on a user's system.
Prefiro gerenciamento de memória ruim hehe
Apesar de não concordar com o que o micrófilo falou, acho realmente estranho o IE não estar na lista. Será que é porque não se faz o download dele?
...that in many cases allow the execution of arbitrary code.
MSN
...allow a remote attacker to execute arbitrary code on a user's system.
Prefiro gerenciamento de memória ruim hehe
[/quote]
Você prefere gerenciamento de memória ruim que possibilita a execução de código maligno… a processamento de imagens que possibilita a execução de código maligno? heheh… parece ser mais uma escolha entre “chute no saco” e “lápis no olho”.
[quote=LIPE]
Apesar de não concordar com o que o micrófilo falou, acho realmente estranho o IE não estar na lista. Será que é porque não se faz o download dele?[/quote]
Realmente, seria legal ver qual ranking o IE teria.
A algum tempo a microsoft vinha divulgando pesquisas como está, para dizer que o IE era mais Seguro que o Firefox.
Especilistas então responderam, que como o Firefox e software livre, e mais fácil encontrar e corrigir bugs. Ao contrário do sistema de notificação de erros da microsoft, que tem uma parte pública e outra restrita.
Pessoalmente, eu incluíria como 1 colocado na lista de segurança o WinXP ate service pack 1. Eu já tive mozilla 1.0.7, mas ele nunca explorou uma vulnerabilidade critíca do sistema para fezer meu computador reiniciar, só por que eu conectava na internet (o famoso blaster).
No mais, fica o aviso (vou verificar o acrobat) sobre não atualização.
Sami, você lembra o que essa falha no FireFox causava? Alguém poderia escrever código javascript que acessaria conteúdo html e javascript das páginas nas outras abas. Isso é um tanto perigoso sim, mas se me lembro bem foi arrumado em menos de 48h.
Por isso prefiro sim esta falha à do msn. Mas, bah, nem uso essa porcaria hehe
Eu pessoalmente colocaria em primeiro lugar “Você” isso mesmo o usuario. Já sobrevivi muito tempo com ambientes só com Win98, pouco tempo a trás, e nada aconteceu, e tenho conhecidos que usam WinXP SP2 com o ultimo patch, firewall, antivirus e o computador vive infestado de virus, worms, spywares…
Então o principal ponto de vunerabilidade é o usuario.
[quote=LIPE]Sami, você lembra o que essa falha no FireFox causava? Alguém poderia escrever código javascript que acessaria conteúdo html e javascript das páginas nas outras abas. Isso é um tanto perigoso sim, mas se me lembro bem foi arrumado em menos de 48h.
Por isso prefiro sim esta falha à do msn. Mas, bah, nem uso essa porcaria hehe[/quote]
Opa, não me lembro, não. Confesso minha ignorância quase completa ao respeito dessa falha.
O que acontece na realidade é que o Firefox tem mais bugs encontrados e corrigidos, os softwares da Microsoft não estão na lista porque eles tem bugs (as vezes muito mais que os outros), mas não são encontrados e muito menos corrigidos, assim a lista de bugs deles é bem menor, claro… esse não é um ranking de software com mais bugs e sim o de software com mais bugs reportados e corrigidos, estar no topo desta lista não é tão ruim quanto parece…
[quote=jairelton]O que acontece na realidade é que o Firefox tem mais bugs encontrados e corrigidos, os softwares da Microsoft não estão na lista porque eles tem bugs (as vezes muito mais que os outros), mas não são encontrados e muito menos corrigidos, assim a lista de bugs deles é bem menor, claro… esse não é um ranking de software com mais bugs e sim o de software com mais bugs reportados e corrigidos, estar no topo desta lista não é tão ruim quanto parece…
Jair[/quote]
Mas um bug não passa a ser bug à partir do momento que ele é encontrado? hehe
antes disso ele “não existe”… pode até estar lá, mas nõ é bug ainda… :lol:
como é que vc vai falar que seu aplicativo tem 10 bugs, mas vc só conseguiu encontrar 5?
Alias… alguém na vida já viu o Acrobat fazer algo no micro de alguém? hehehe
Mas, repetindo, não conheço a falha. E nem estou criticando firefox, eu o prefiro, uso, e acho menos vulnerável do que IE.
[]s,
Sami[/quote]
Ha então era pior ainda hehe Só de acessar o html das outras abas já é bem inaceitável. Dá para fazer um keylogger e interceptar envio de formulários hehe
