Chrome di Google, Firefox di Mozilla e iTunes di Apple sono stati i software più popolari e allo stesso tempo più vulnerabili dello scorso anno. Lo rivela una ricerca di Secunia, società specializzata in sicurezza. In un documento in PDF è dettagliato il trend globale, analizzando le vulnerabilità di vari prodotti e i vettori di attacco utilizzati. Microsoft, spesso accusata di distribuire software poco sicuro, non è più da sola (29 su 50 vulnerabilità top riguardano a ogni modo software prodotti dalla società di Redmond) e negli ultimi cinque anni è aumentata la “popolarità” delle vulnerabilità individuate in applicazioni di altre aziende.
“Il significato di questi numeri è che è diventato più difficile per utenti e amministratori mantenere al sicuro i sistemi” si legge nel report. Se gli utenti finali e le organizzazioni si concentrano nell’applicare patch solo ai programmi e sistemi operativi di Microsoft, proteggono computer e infrastrutture dal 14% delle minacce possibili” precisa l’indagine. Complessivamente Secunia ha identificato 9776 vulnerabilità in 2503 prodotti di 421 vendor, con un incremento del 15% delle vulnerabilità rispetto a cinque anni addietro. Nello stesso periodo preso in esame il numero delle vulnerabilità individuate in 50 delle applicazioni più note per PC sono aumentate del 98%.
Tra le 18 applicazioni più note non prodotte da Microsoft, Secunia elenca 291 vulnerabilità in Chrome, 257 in Firefox e 243 in iTunes. Il Flash Player di Adobe ha contabilizzato 67 vulnerabilità, Oracle Java JRE SE ne conta 66, 56 invece per Adobe AIR. Adobe Reader e Apple QuickTime sono anch’essi nella lista rispettivamente con 43 e 29 vulnerabilità. Per quanto riguarda i prodotti Microsoft, Windows 7 si è dimostrato il più esposto con 50 vulnerabilità; Internet Explorer ne conta 41, il framework .net ne contabilizza 14, Excel 10, il Viewer di Visio sette, Silverlight 5, Word 3 e Microsoft MSXML 1.
Stando al report in questione, Windows 7 ha visto un notevole aumento delle vulnerabilità dal 2010 al 2011, arrivando a 102; nel 2012 è ritornato al livello del 2009. A detta di Secunia questo risultato è stato ottenuto da un solo ricercatore, che ha deciso di studiare un componente specifico denominato “win32k.sys” individuando 22 vulnerabilità nel 2010 e 59 nel 2011, mentre nel 2009 erano state individuate solo 4 falle.
Molte delle vulnerabilità individuate nei software top 50 come popolarità, sono state etichettate come Highly Critical (78.8%) o Extremely Critical (5.3%). Solo 8 dei software nella lista top 50 includevano vulnerabilità zero-day (sfruttabili sin da subito), rispetto alle 12 del 2010 e alle 14 individuate nel 2011. “Sono ottimi numeri” si legge nel report, “Indicano che ricercatori e software vendor riescono a coordinare i loro sforzi, individuando vulnerabilità e rilasciando patch e soluzioni prima che siano individuate dagli hacker”. I vendor sono diventati più svelti nel rilasciare patch: per l’84% delle vulnerabilità individuate lo scorso anno è stato rilasciato un update il giorno stesso della scoperta, un incremento rispetto al 72% del 2011. “La spiegazione più probabile è il miglior coordinamento con chi individua le vulnerabilità” si legge nel report.
[A cura di Mauro Notarianni]