Según los detalles que se pueden sacar de los CVE, OS X, en todas sus versiones, tiene 384 avisos en 2015. El sistema operativo iOS tenía 375. Flash tiene 314. Windows se encuentra atrás en el ranking, y el peor producto de la gente de Redmond es Internet Explorer con 231 CVE. ¿Qué significa todo esto? Realmente poco. La estadística llevada a cabo no hace distinción entre la gravedad o criticidad de las vulnerabilidades de la lista. En otras palabras, no es lo mismo una vulnerabilidad que permite ejecutar código remoto en una máquina que otra que te permite obtener un leak.
Figura 1: Exposición de los hechos en Twitter por SecuriTay
Existen muchos errores de seguridad mutiplataforma. Esto quiere decir que si una vulnerabilidad afecta a una plataforma, posiblemente también a la otra. SecuriTay comentaba mediante Twitter que la manera de contar los CVE no ayuda a mejorar la seguridad, pero la gente ama los números. Esto es algo que parece bastante real, ya que esta estadística no refleja la verdadera seguridad que aportan los sistemas o aplicaciones. Habría que evaluar los riesgos que suponían cada una de las vulnerabilidades encontradas en cada sistema y aplicación. Por ejemplo, mediante un Score como puede ser CVSS.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...