Um diretor de segurança sênior da Symantec elogiou os esforços da Microsoft para criar patches para vulnerabilidades de segurança em seu sistema operacional Windows, mas rejeitou as alegações de que isso, por sua vez, a torna mais segura..

O diretor da Symantec, Oliver Friedrichs, estava respondendo a um relatório anterior de Jeff Jones, diretor de estratégia da unidade de tecnologia de segurança da Microsoft. No relatório, Jones disse que o Wndows Vista sofreu menos vulnerabilidades nos primeiros 90 dias do que o Linux ou Mac OS X teve no mesmo período..

Jones disse que apenas um bug foi descoberto no Windows Vista quando foi implementado em novembro, mas que durante o mesmo período o Windows XP tinha 14 bugs, o Mac OS X 10.4 tinha 20 bugs, a Red Hat tinha 137 bugs, o Ubuntu 71 e SuSE entalhado 80.

Comentando sobre o relatório Friedrichs da Symantec disse: "A gravidade de uma vulnerabilidade joga com isso também. Uma única vulnerabilidade que tem uma alta severidade pode levar ao próximo worm Sasser ou Blaster, mas um sistema operacional com uma maior contagem de bugs, mas com aqueles classificados como "menos altos podem estar em melhor posição defensiva em geral".

Dominância mais falhas = dano

Friedrichs também alertou que o domínio da Microsoft teve um papel importante a desempenhar no impacto que as vulnerabilidades tiveram, simplesmente por causa de sua posição dominante no mercado:

"Uma vulnerabilidade de alta gravidade pode não ser amplamente explorada em outro sistema operacional", disse ele. "Isso não é incomum. Isso não diminui a criticidade da própria vulnerabilidade, é claro. Para a base de clientes desse fornecedor, ela representa um sério risco, mas o risco geral para a Internet pode não ser muito grande."

Ele também disse que era difícil realmente avaliar um sistema operacional em apenas 90 dias, especialmente quando o Vista estava disponível apenas para usuários corporativos durante esse período. É muito mais provável que a empresa leve a segurança a sério do que os usuários domésticos. A Symantec diz que 93% de todas as explorações são voltadas para usuários domésticos, e não para empresas.

Friedrichs, no entanto, elogiou a Microsoft pela velocidade com que corrigiu falhas no Windows, em comparação com aquelas encontradas em sistemas operacionais rivais. A Microsoft levou uma média de 21 dias para corrigir 39 vulnerabilidades no segundo semestre de 2006, em comparação com 66 dias para o Mac OS X e 58 dias para a Red Hat, de acordo com um relatório da Symantec..

Os números que importam

O Volume XI do Relatório de Segurança da Internet foi aproveitado por alguns jornalistas de tecnologia como prova de que o Windows é um sistema operacional mais seguro do que seus rivais. No entanto, seus relatórios tendem a se concentrar no número de correções e na velocidade com que foram emitidos, em vez da gravidade das próprias vulnerabilidades:

  • A Microsoft demorou mais (21 dias, em média) para corrigir suas vulnerabilidades do Windows no segundo semestre de 2006, do que no primeiro semestre (13 dias)
  • Das 39 vulnerabilidades expostas, 12 foram consideradas de alta gravidade; 20 gravidade média e 7 baixa gravidade. Isso é pior do que no primeiro semestre do ano, quando havia apenas 5 riscos de alta gravidade, de acordo com a Symantec.
  • Das vulnerabilidades da Red Hat no segundo semestre de 2006, 2 foram consideradas de alta severidade; 130 foram considerados de gravidade média e 76 de baixa gravidade
  • O Mac OS X teve um alto risco de gravidade; 31 riscos de gravidade média; e seis riscos de gravidade baixa

Aplicativos da Web representam a maior ameaça

A Symantec também analisou as ameaças impostas aos navegadores da web. Descobriu que um programa - o Internet Explorer, da Microsoft - foi alvo de 77% de todos os ataques a navegadores da web. Ele também disse que os navegadores e outros aplicativos da web foram responsáveis ​​por 66% dos ataques a computadores no segundo semestre de 2006. Os hackers estão usando cada vez mais ataques de gravidade média como uma forma de explorar os programas de PC também. Os números se acumulam assim:

  • O Internet Explorer teve 54 vulnerabilidades no segundo semestre do ano passado; 1 deles foi considerado de alta gravidade; 13 gravidade média e 40 baixa gravidade
  • Os navegadores da Mozilla (por exemplo, Firefox) tiveram 40 vulnerabilidades no mesmo período; 35 destes foram considerados de gravidade média e 5 de gravidade baixa
  • O Opera teve 4 vulnerabilidades, novamente pelo mesmo período; 2 foram considerados de gravidade média e dois de baixa gravidade
  • O Safari da Apple teve 4 vulnerabilidades, novamente pelo mesmo período; 2 foram considerados de gravidade média e dois de baixa gravidade