CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/02/2011

El 80 % de internautas es vulnerable a exploits en navegadores web

Http Ocho de cada 10 navegadores siguen siendo vulnerables a ataques sobre errores que ya habían sido parcheados, con la mayoría de los problemas derivados de los "complementos de navegador" (plug-ins) como Java.

Estas cifras vienen de escaneos reales de usuarios del servicio de "Qualitys’s Browser Check", una utilidad gratuita de escaneo dirigida a clientes liberada el año pasado. El servicio basado en web es capaz de escanear sistemas Windows, Mac y Linux en busca de problemas de seguridad, incluso en el mismo navegador web o en 18 complementos comúnmente usados, como son Adobe Flash y Windows Media Player. Los navegadores soportados son Internet Explorer, Safari, Chrome y Opera (Los grandes 5 navegadores web).

En enero de 2011, el 80% de todas las máquinas escaneadas fue vulnerable en al menos un error basado en navegador web. Esta cifra ha variado entre un 65% y 90% desde julio de 2010, de acuerdo a una presentación de Wolfgang Kandek. CTO de Qualys, en la conferencia de la RSA el jueves pasado. Kandek expresó su sorpresa ante las altas cifras de sistemas vulnerables.

Estas cifras son especialmente problemáticas cuando consideras que los clientes que han elegido escanear sus sistemas con BrowserCheck en primer lugar, son probablemente más conscientes sobre la seguridad que la mayoría de los usuarios de internet.

El más comúnmente desenganchado plug-in resultó ser Oracle Java (vulnerable en más del 40% de los casos), software que casualmente recibió un lote de parches monstruoso el jueves. Las deficiencias de seguridad de Java en los navegadores ha llevado a algunos expertos en seguridad a aconsejar la desactivación de la tecnología.

Complementos que fueron frecuentemente vulnerable a ataques: Adobe Reader (32%), QuickTime (25%), Flash(%24), Shockwave(22%) y Windows Media Player (10%)

Kandek concluye que la seguridad en los navegadores web se encuentra en un estado inestable, especialmente debido a los complementos de navegador desactualizados y fáciles de atacar. Dijo que los desarrolladores de virus se han adaptado a este escenario y han lanzado más ataques contra complementos de navegador web.

La presentación de Kandek, completa con multiples gráficas de pastel ilustrando el poco fiable estado de la seguridad en navegadores web, pueden ser descargados del sitio de Qualys.

Fuente: Zona Virus

CSIRT-CV