(C&P)...Como se puede ver, este año el carbón va directo a las oficinas de Adobe que, siendo una compañía de una dimensión mucho mas pequeña que Microsoft, ha conseguido superarla en cuanto a problemas de seguridad.
Es curioso ver a Firefox en tercer lugar, se suponía que era muy seguro y todo eso.
Sorprendente ver a Adobe Reader en primer lugar, un navegador tiene bastantes más funciones que el reader, office es una suite mucho más grande que un simple programa, etc. y por tanto sería más lógico que estos fuesen más susceptibles a bugs. Muy mal por el reader.
Anexo a #1 : Firefox tuvo este año 102 errores, 12 más que el año pasado. Internet explorer tuvo 30 este año, casi los mismos que el año pasado. Entonces ¿por qué IE se considera, según el autor, más vulnerable?, porque como FF es código libre Mozilla revela todos cuantos fallos encuentra en FF. Pues vaya.
Habría que conocer la gravedad de cada uno para poder comparar pero 102 frente a 30... .
Y lo dice uno que usa FF, por si alguien quiere tacharme de Pro IE.
#2 Pues fácil, porque aparte de la gravedad cualquiera puede ir al bugzilla de Firefox y ponerse a contar los bugs porque todos son públicos, la política de las empresas privadas es totalmente la contraría no hacen un bug público excepto que sea estríctamente necesario, ya sea porque otro lo hace público o porque tengan que dar algun aviso a sus usuarios cuando es algo realmente grave (por ejemplo cuando Adobe saca una aviso de que la gente actualice Flash a la última versión), en el resto de casos prefieren arreglarlo por detrás y subir el parche de forma transparente al usuario.
Vamos que no es comparable los bugs reconocidos en un proyecto de código cerrado con los que se hacen públicos en uno de código abierto.
#4 Ya, lo que yo decía es que aún así, de 102 a 30 hay un trecho. Otra es que el IE se actualiza mediante windows update y cada actualización lleva una descripción así que eso de subir el parche de forma transparente habría que ponerlo un poco en cuarentena. Por otra banda estarían las descubiertas, escondidas y sin arreglar y tendrían que ser 72, a mí me parecen muchas.
#5 No me compares la descripción de un update de IE con las notas que hace públicas Mozilla cuando saca una nueva versión, si hasta te enlaza a bugzilla con todos los bugs que han corregido, no hay ni punto de comparación, de lo otro te tienes que fiar que realmente es eso lo que han hecho. Además de otras cosas, por ejemplo ¿cómo hace Microsoft para contar los errores de los componentes que usa IE y que son parte del sistema?, los cuenta como bugs de IE, del sistema, de ambos.
En definitiva que no se pueden comparar las políticas de unos y de otros así a lo bruto, habría que ver de donde salen esos 102 errores, porque mirando por encima en el 2009 Mozilla tiene un total de 64 avisos de seguridad reportados, de los cuales la mitad están marcados como críticos, ¿es mejor o peor utilizar esto como medida de la seguridad?
Que sí, que está muy bien hacer una lista, pero hay que justificarla de alguna manera, porque eso de software más hackeado que dicen a saber a que se refieren exactamente.
#6 No comparo la cantidad de información que ofrece la descripción de windows update con las notas de mozilla, lo que digo es que cuando solucionan un error la descripción en windows update es algo como "actualización de seguridad para el IE. este paquete corrige una vulnerabilidad que permite ejecutar código remoto ante una web malintencionada". Con eso ya sabes que le han corregido algo al IE, vamos, que muy escondida no es que esté.
Luego tenemos los códigos tipo "KB875534", a partir de ellos en la web de Microsoft y en otras ya puedes encontrar la descripción completa así que aquí ya deja de estar oculta por completo. Todas las actualizaciones llevan un código.
En cuanto a como marca los bugs, si del IE, del SO o de ambos lo puedes deducir tú a partir de la descripción, a tu criterio. En hispasec de vez en cuando lanzan un artículo explicando todos los bugs corregidos en una de las actualizaciones rutinarias de Microsoft.
El de la lista yo creo que más bien se refiere a bugs que tiene el IE y que no están corregidos, no que actualicen a hurtadillas el IE, bugs que descubrieron ellos y solo conocen ellos pero es que la diferencia me parece muy grande.
Lo de ADOBE ya es de cuentos, afortunadamente desde que descubrí Foxit reader abandone por completo a Adobe Reader.
Adobe Reader es a Firefox como Foxit Reader es a Google Chrome.
Comentarios
Es curioso ver a Firefox en tercer lugar, se suponía que era muy seguro y todo eso.
Sorprendente ver a Adobe Reader en primer lugar, un navegador tiene bastantes más funciones que el reader, office es una suite mucho más grande que un simple programa, etc. y por tanto sería más lógico que estos fuesen más susceptibles a bugs. Muy mal por el reader.
El IE en segundo lugar, mucho no sorprende.
No obstante me ha gustado este artículo: http://www.securitybydefault.com/2009/06/microsoft-ejemplo-de-seguridad.html Como dicen en él quizás sea hora de empezar a cambiar algunos tópicos.
Anexo a #1 : Firefox tuvo este año 102 errores, 12 más que el año pasado. Internet explorer tuvo 30 este año, casi los mismos que el año pasado. Entonces ¿por qué IE se considera, según el autor, más vulnerable?, porque como FF es código libre Mozilla revela todos cuantos fallos encuentra en FF. Pues vaya.
Habría que conocer la gravedad de cada uno para poder comparar pero 102 frente a 30... .
Y lo dice uno que usa FF, por si alguien quiere tacharme de Pro IE.
#2 Pues fácil, porque aparte de la gravedad cualquiera puede ir al bugzilla de Firefox y ponerse a contar los bugs porque todos son públicos, la política de las empresas privadas es totalmente la contraría no hacen un bug público excepto que sea estríctamente necesario, ya sea porque otro lo hace público o porque tengan que dar algun aviso a sus usuarios cuando es algo realmente grave (por ejemplo cuando Adobe saca una aviso de que la gente actualice Flash a la última versión), en el resto de casos prefieren arreglarlo por detrás y subir el parche de forma transparente al usuario.
Vamos que no es comparable los bugs reconocidos en un proyecto de código cerrado con los que se hacen públicos en uno de código abierto.
#4 Ya, lo que yo decía es que aún así, de 102 a 30 hay un trecho. Otra es que el IE se actualiza mediante windows update y cada actualización lleva una descripción así que eso de subir el parche de forma transparente habría que ponerlo un poco en cuarentena. Por otra banda estarían las descubiertas, escondidas y sin arreglar y tendrían que ser 72, a mí me parecen muchas.
#5 No me compares la descripción de un update de IE con las notas que hace públicas Mozilla cuando saca una nueva versión, si hasta te enlaza a bugzilla con todos los bugs que han corregido, no hay ni punto de comparación, de lo otro te tienes que fiar que realmente es eso lo que han hecho. Además de otras cosas, por ejemplo ¿cómo hace Microsoft para contar los errores de los componentes que usa IE y que son parte del sistema?, los cuenta como bugs de IE, del sistema, de ambos.
En definitiva que no se pueden comparar las políticas de unos y de otros así a lo bruto, habría que ver de donde salen esos 102 errores, porque mirando por encima en el 2009 Mozilla tiene un total de 64 avisos de seguridad reportados, de los cuales la mitad están marcados como críticos, ¿es mejor o peor utilizar esto como medida de la seguridad?
Que sí, que está muy bien hacer una lista, pero hay que justificarla de alguna manera, porque eso de software más hackeado que dicen a saber a que se refieren exactamente.
#6 No comparo la cantidad de información que ofrece la descripción de windows update con las notas de mozilla, lo que digo es que cuando solucionan un error la descripción en windows update es algo como "actualización de seguridad para el IE. este paquete corrige una vulnerabilidad que permite ejecutar código remoto ante una web malintencionada". Con eso ya sabes que le han corregido algo al IE, vamos, que muy escondida no es que esté.
Luego tenemos los códigos tipo "KB875534", a partir de ellos en la web de Microsoft y en otras ya puedes encontrar la descripción completa así que aquí ya deja de estar oculta por completo. Todas las actualizaciones llevan un código.
En cuanto a como marca los bugs, si del IE, del SO o de ambos lo puedes deducir tú a partir de la descripción, a tu criterio. En hispasec de vez en cuando lanzan un artículo explicando todos los bugs corregidos en una de las actualizaciones rutinarias de Microsoft.
El de la lista yo creo que más bien se refiere a bugs que tiene el IE y que no están corregidos, no que actualicen a hurtadillas el IE, bugs que descubrieron ellos y solo conocen ellos pero es que la diferencia me parece muy grande.
Por cierto, no he entendido tu pregunta.
Lo de ADOBE ya es de cuentos, afortunadamente desde que descubrí Foxit reader abandone por completo a Adobe Reader.
Adobe Reader es a Firefox como Foxit Reader es a Google Chrome.