La empresa de seguridad informática Bit9 ha publicado un informe con las vulnerabilidades detectadas en doce productos de software durante los tres trimestres transcurridos de 2010. Google Chrome ocupa el primer lugar, con 76 incidencias graves.
Los cinco navegadores más populares han sido analizados en detalle por Bit9, junto con Webkit, utilizado en Safari y Chrome. Los demás programas, aparte de Microsoft Office, son aplicaciones usadas frecuentemente como extensiones de navegadores.
El informe de Bit9, disponible en íésta página, constituye básicamente una advertencia a las empresas sobre el riesgo de que los empleados descarguen software no autorizado, a la vez que pone de relieve la importancia de estar atentos a las actualizaciones de programas.
Para la elaboración de su informe, Bit9 ha considerado únicamente el número de vulnerabilidades graves reportadas. La lista, según número de incidencias, es la siguiente. En paríéntesis el número de vulnerabilidades graves:
Google Chrome (76)
Apple Safari (60)
Microsoft Office (57)
Adobe Reader y Acrobat (54)
Mozilla Firefox (51)
Sun Java Development Kit (36)
Adobe Shockwave Player (35)
Microsoft Internet Explorer (32)
RealNetworks RealPlayer (14)
Apple WebKit (9)
Adobe Flash Player (
Apple QuickTime (6) y Opera (6)
La información tiene ciertas carencias. Por ejemplo, no indica el tiempo transcurrido desde la detección de cada vulnerabilidad específica, hasta la fecha en que fue solucionada. Tampoco señala si la vulnerabilidad ha sido de hecho explotada, o si sólo se trató de un peligro potencial.
En principio entonces, y con las salvedades indicadas en el párrafo anterior, la lista presenta un negativo panorama para Google Chrome. Sin embargo, para el caso del navegador, la mayoría de las vulnerabilidades han sido reportadas despuíés de la publicación de actualizaciones de Chrome. De igual modo, Google tiene un programa de recompensas para la detección de agujeros de seguridad de sus programas. Esto en sí puede haber motivado a muchos expertos a concentrarse en analizar Chrome en busca de vulnerabilidades, el lugar de otro software.
Por lo demás, la lista de Bit9 presupone que los fabricantes hayan comunicado a la opinión pública todas las vulnerabilidades detectadas y eliminadas de sus respectivos productos. Desde ya, se sabe que no todos los fabricantes sienten el mismo interíés por comunicar tales errores. Microsoft figura en tal grupo, mientras que, en comparación, en la práctica es imposible mantener en secreto las actualizaciones de seguridad del software de código abierto.
En una nota de prensa, Bit9 comenta que las aplicaciones más populares a menudo contienen vulnerabilidades que pueden ser explotadas por cibercriminales. Destaca además la importancia de que los departamentos de TI de las empresas estíén atentos y sean proactivos a la hora de actualizar su software.
El material usado en la investigación de Bit9 fue recogido de la base de datos de vulnerabilidades de National Institute of Standards and Technology (NIST), de Estados Unidos. Entre los criterios utilizados para incluir vulnerabilidades en la lista, es que estas hayan tenido un grado de gravedad de entre 7 y 10 puntos.