Secciones

HISPASEC: ¿Cuando tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

Hispasec sistemas, ha publicado un estudio en Septiembre del 2009 sobre el tiempo que tardan los grandes fabricantes de software del mundo en solucionar sus vulnerabilidades.

El estudio se basa en las vulnerabilidades detectadas o compradas por iDefense y ZeroDayInitiative. Estas empresas se encargan de comprar vulnerabilidades detectadas por usuarios para después verderselas a las compañias de software, a cambio de no publicar la vulnerabilidad hasta que la compañía no tenga preparado el parche.



En esta gráfica podemos ver que la gran mayoría de empresas de software tardan más de 3 meses en resolver más del 30% de sus vulnerabilidades. Entre las peor paradas podemos destacar a Oracle, empresa que tarda más de 9 meses en resolver el 50% de sus incidencias.

En este fragmento, extraído del informe que comentamos, hacen una dura crítica a Oracle por su falta de compromiso con la resolución de vulnerabilidades:


Sin duda Oracle ha sido el peor parado en este estudio, y no sin razón. Desde siempre, ha tenido serios problemas para administrar la seguridad de sus múltiples productos. A pesar de sus esfuerzos para mejorar su política de seguridad, no ha conseguido gestionar eficazmente las vulnerabilidades descubiertas, y ha sido duramente criticado por “abandonar” a sus clientes con vulnerabilidades públicas, explotadas, reconocidas y graves. En 2004, pasó 8 meses sin solucionar 34 vulnerabilidades conocidas. Paradójicamente, a finales de 2001 Internet se llenó de anuncios y banners que prometían que la nueva versión de Oracle era irrompible. Entre la comunidad, este mensaje perteneciente a una agresiva campaña de marketing no pudo más que tomarse a broma. No tardaron en aparecer todo tipo de desbordamiento de memorias intermedias, fallos remotos, locales, internos, exploits... algunos inclusos obvios y triviales. El software de Oracle seguía siendo vulnerable a todo tipo de fallos de seguridad, tanto o más que sus predecesores y, con el tiempo se está demostrando, menos que sus sucesores.

Aconsejo a quienes esteis interesados en el tema en no quedarse sólo con los resultados de las gráficas,  y leais el artículo completo.

No hay comentarios:

Publicar un comentario en la entrada