¿Firefox más inseguro? (y II)

Como os comentaba ayer en mi anterior post, el artículo publicado por NeoWin sobre el estudio realizado por Secunia sobre las vulnerabilidades de los navegadores web da una interpretación muy poco realista y muy partidista de la información aportada por Secunia.

Tras leer el informe de Secunia yo mismo y valorar lo que pone, estas son las conclusiones que se extraen, y sobre las que voy a intentar separar claramente lo que son DATOS aportados por el informe y lo que son mis opiniones personales, para que no pase como les ha pasado a varias webs que se han hecho eco de este artículo y que, por confiar en la interpretación de esta web, han acabado proporcionando información inexacta a sus lectores.

Aquí vamos con los datos (traducidos del inglés de la forma más literal posible):

• 31 vulnerabilidades fueron reportadas para Internet Explorer (IE 5.x, 6.x y 7), incluyendo tanto aquellas publicadas antes de disponerse de parche del fabricante como aquellas incluidas en boletines de Microsoft. Safari y Opera tuvieron cada uno 32 y 30 vulnerabilidades respectivamente, mientras que 115 vulnerabilidades fueron registradas para Firefox en 2008.

• Para plug-ins de navegadores, el número de vulnerabilidades en controles ActiveX en 2008 sigue siendo de lejos el más significativo, con 366. Los controles ActiveX siempre han sido populares en cuanto a su uso y abuso. En cualquier caso, se observa un salto de las 45 vulnerabilidades de 2006 a las 338 de 2007, siendo este último incrementado aparentemente debido a la aparición de eventos como el Mes de los Controles ActiveX y por el descubrimiento por parte de Secunia de un componente ActiveX vulnerable que era utilizado en 40 productos diferentes.
  

• Las ventanas de exposición de las amenazas referentes a IE y Firefox son comparadas en la tabla. Esta tabla únicamente muestra aquellas vulnerabilidades publicadas antes de las notificación del fabricante. Los números no incluyen vulnerabilidades descubiertas internamente por los fabricantes. Mozilla ha publicado 3 parches para 3 vulnerabilidades relacionadas con Firefox, las cuales estuvieron todas clasificadas como de bajo riesgo. Microsoft ha publicado 3 parches de las 6 vulnerabilidades relacionadas con IE, aunque varias graves amenazas han permanecido sin parche durante más de 110 días después de su publicación. Tres vulnerabilidades de bajo riesgo en IE permanecieron aún sin parchear a finales de 2008.
  

• El objetivo principal para los criminales es el software de Microsoft: Un total de 9 vulnerabilidades 0-day afectaron en 2008 al software de Microsoft, y las restantes 3 (de un total de 12 en 2008) afectaron a controles ActiveX de terceros (aunque el vector de ataque también fue software de Microsoft).
  

Hasta aquí los datos del informe de Secunia, ahora vienen mis interpretaciones, que adelanto que no tienen nada que ver con las que he leido hasta al momento:

• Según los datos del informe de secunia, es cierto que Internet Explorer presenta muchas menos vulnerabilidades que Firefox en 2008, pero en ningún momento dice (como se ha leido por ahí) que la conclusión es que Firefox es más inseguro que Internet Explorer. De hecho, en el artículo de NeoWine se han obviado las vulnerabilidades en los componentes del navegador, en las que los controles ActiveX han presentado muchísimas más vulnerabilidades que las extensiones de Firefox (al resto de componentes asumimos que pueden afectar a ambos), por lo que si realizamos una suma de ambos factores Firefox presenta una cantidad de vulnerabilidades muy inferior a Internet Explorer (116 de FF contra 397 de IE). Aún en el supuesto de que se valoraran como algo separado por ser vulnerabilidades de otros fabricantes (aunque yo creo que generalmente las vulnerabilidades en ActiveX son fallos en las librerías del propio Microsoft, aunque no me he puesto a comprobarlo a fondo), no me parece correcto separar estos componentes del navegador propiamente dicho para valorar su seguridad, dado que están íntimamente relacionados. Para poner un ejemplo, sería como si anunciaramos que el coche X es el más seguro del mercado, pero que luego fuera el que más siniestralidad tiene, y lo justificaramos diciendo que el coche es tremendamente seguro, pero que los neumáticos con lo que lo vendemos son los que provocan todos esos accidentes, pero que eso no quiere decir que no sea seguro... Como podeis ver resulta un poco absurdo, y al final lo que le interesa a la gente que compra un coche es poder llegar a su destino de forma segura, y si no va a llegar lo de menos es por culpa de que componente ha sido. En resumen, mi interpretación de los datos del informe de Secunia es el contrario, Firefox ha tenido muchas menos vulnerabilidades publicadas que Internet Explorer, independientemente de que, como dice Mozilla, habría que ver como se han contado y valorado esas vulnerabilidades.

• Como no me quedaba muy claro eso de que se cuenten conjuntamente las vulnerabilidades de diferentes versiones de Internet Explorer y Firefox (me parece irreal que versiones antiguas cuenten, para medir la seguridad actual), realicé una búsqueda por mi cuenta en la web de Secunia para ver cuantas vulnerabilidades han sido publicadas en 2008 para Firefox 3 y para Internet Explorer 7, siendo el resultado 77 vulnerabilidades para IE7, contra 56 vulnerabilidades de Firefox, por lo que nuevamente los datos no apuntan para nada a que Internet Explorer sea más seguro que Firefox.

• Por último, algo que en mi opinión es muy importante a la hora de valorar la seguridad de un producto es la cantidad de vulnerabilidades 0-day que aparecen en un producto y el tiempo de respuesta del fabricante para publicar los parches necesarios, ya que vulnerabilidades van a aparecer siempre y que deberemos tener nuestro sistema parcheado (y si no lo tenemos es nuestro problema), pero para que eso sea suficiente el fabricante tiene que tener una rápida respuesta ante vulnerabilidades no documentadas. Pues bien, como se puede ver en los datos proporcionados por Secunia, Firefox tuvo a lo largo de 2008 menos vulnerabilidades 0-day, ninguna de ellas considerada críticas ni de alto impacto, y además fueron corregidas en mucho menor tiempo que vulnerabilidades que sí que fueron críticas y que afectaron a Internet Explorer. Es decir, que mientras que durante 110 días del pasado año (casi 1/3 del año) los usuarios de Internet Explorer estaban usando un software vulnerable sin que su fabricante les hubiera proporcionado ninguna solución, los usuarios de Firefox no tuvieron que estar ni un sólo día expuestos a una vulnerabilidad crítica si aplicaron correctamente todos los parches publicados por el fabricante.

Como podeis ver (y el que tenga opiniones contrarias está invitado a poner comentarios, por supuesto), la interpretación de la información aportada por Secunia (que en ningún momento ha interpretado nada ni ha dicho que Firefox sea inseguro, todo lo contrario) ha sido reproducida de forma partidista e inexacta por NeoWin, algo por desgracia habitual en círculos cercanos a Microsoft (que me resulta inexplicable y poco iteligente, puesto que llega un momento que cada palabra que dicen causa excepticismo de entrada, aunque sea completamente cierto).