Esteu aquí

Quan tarden els grans fabricants de software en arreglar una vulnerabilitat ??

Llegint un informe publicat per Hispasec sobre el temps que triguen les grans corporacions o companyies de software en arreglar una vulnerabilitat, se m'han posat de punta els pocs pels que tinc. Hispasec partint de una llista de vulnerabilitats publicades a CVE (Common Vulnerabilities and Exposures), ha agafat 10 companyies: Sun, Novell, HP, Microsoft, Apple, IBM, CA Computer Associates, Symantec, Oracle i Adobe, i ha comparat els dies que s'han trigat entre la publicació de la vulnerabilitat a CVE i la seva resolució en forma de publicació del patch per el mateix fabricant.

Les conclusions finals són preocupants:
Se observa cómo el tiempo en general es abultado entre todos los fabricantes estudiados. Acumulan una media de 171,8 días, lo que son casi 6 meses por vulnerabilidad. De hecho, casi el 84% de las vulnerabilidades se resuelven antes de los 6 meses, y apenas un 10% pasa del año.

Se podrían clasificar en tres grandes grupos: Oracle, Microsoft y en menor medida HP como los más "perezosos" a la hora de solucionar vulnerabilidades no hechas públicas, con una media de entre 200 y 300 días (entre 7 y 10 meses). Por otro lado Apple y Novell se mantienen rondando los 100 días (más de 3 meses) para solucionar problemas de seguridad reportados de forma privada. El resto de fabricantes se mantienen entre los 3 y los 7 meses de media. Aunque Sun es uno de los fabricantes que más vulnerabilidades ha resuelto entre el año y los 18 meses. Lo que también cabe destacar son las vulnerabilidades puntuales que, por parte de casi todos los fabricantes, son resueltas bien en una semana, bien en año y medio o dos años, y que se salen totalmente de la media. Estos casos puntuales a veces tienen explicación y en ocasiones parecen no estar justificados."

Aquest és, segons l'informe, el Top Ten de les vulnerabilitats que més s'han tardat en resoldre.





Vaja, com per a demanar a qualsevol de la casa que quan li sembla que tindrà arreglat el pegat. Sinó mireu a l'informe com algunes companyies han trigat 1.021 dies en resoldre vulnerabilitats qualificades amb un 9,3 (sobre 10) per CVE.

Podeu llegir l'informe complet amb gràfics i demés aquí a sota.