El documento proporciona información sobre vulnerabilidades en los principales navegadores web: Google Chrome, Internet Explorer, Safari y Mozilla Firefox. Analiza las versiones 10, 9, 5.1 y 4 respectivamente y proporciona detalles sobre el número de vulnerabilidades, actualizaciones, políticas de recompensa y estadísticas comparativas. Chrome y Firefox tienen menos vulnerabilidades que Internet Explorer y Safari en las versiones analizadas.
2. Índice
● Google Chrome
● Internet Explorer
● Safari
● Mozilla Firefox
● Estadísticas de Vulnerabilidades
● Estadísticas de Vulnerabilidades (versión estable)
● Criticidad
3. Google Chrome
Google Chrome es un navegador web desarrollado por Google y compilado
con base en componentes de código abierto, disponible gratuitamente bajo
condiciones de servicio específicas.
A continuación, analizaremos varios aspectos en torno a la seguridad de este
navegador en su versión 10.
- Fecha de lanzamiento: Marzo 2011
- Vulnerabilidades: 33
- Advisories: 5
- Unpatched: 20% (1 de 5 advisories)
- Vulnerabilidad más crítica sin parchear: Muy Crítico. (Explotable localmente,
remotamente, sin intervención de usuario pero sin exploit)
- Versiones posteriores: 22 versiones, actualmente la versión 21 es la estable.
- Política de actualización: Lanzan un versión prácticamente a cada mes.
4. Google Chrome
- Política de recompensa:
➢$60,000 – “Explotación completa de Chrome”: Solo deben utilizarse
errores en Google Chrome.
➢$40,000 – “Explotación parcial de Chrome”: Al menos uno de los errores
utilizados debe ser de Google Chrome. Por ejemplo, un error en WebKit
combinado con un error de islamiento de procesos de Windows.
➢$20,000 – “Recompensa deconsuelo, Flash / Windows / otra”: Se utilizan
errores externos a Google Crome. Estos errores pudieran afectar no solo a
Chrome sino a cualquier otro navegador.
Además recibirán tambien una Chromebook.
5. ● Como vemos, en este historial de
versiones, Google Chrome lanza
una nueva versión a cada mes y
medio, y automáticamente deja
de dar soporte a las anteriores.
Actualmente nos encontramos en
la versión 21 y la 22 se encuentra
en desarrollo.
6. Internet Explorer
Windows Internet Explorer es un navegador web desarrollado por Microsoft
para el sistema operativo Microsoft Windows desde 1995,
Seguidamente, analizaremos varios aspectos relacionados con la seguridad de
Internet Explorer 9.x
- Fecha de lanzamiento: Marzo 2011
- Vulnerabilidades: 64
- Advisories: 12
- Unpatched: 8% (1 de 12 advisories)
- Vulnerabilidad más crítica sin
parchear:No Crítico. (Explotable localmente)
- Versiones posteriores: 4 versiones, actualmente la versión 9,0 es la estable.,
aunque está por confirmar la 10.0 (Windows 8)
- Política de actualización: Lanzan un versión aproximadamente cada año y
medio
7. Internet Explorer
- Política de recompensa:
No ofrecen recompensa monetaria por los errores, lo que hacen es reconocer y
honrar el talento. Muchas personas influyentes dentro de la comunidad de
investigadores se unen a los equipos de seguridad como empleados de
Microsoft.
“Valoramos el ecosistema de los investigadores y
lo demostramos de diversas maneras, pero
no creemos que el pago de vulnerabilidades
sea lo mejor. Especialmente cuando
dentro de la comunidad de investigadores
las motivaciones no siempre son financieras”.
8. Internet Explorer
● Actualmente la versión 9.0
está estable. Para la
versión 6.0 sigue
habiendo soporte solo
para Windows XP SP3,
para todas las anteriores
no hay soporte o incluso
hay algunas en desarrollo
(abandonadas).
● Están trabajando en
Internet Explorer 10.0
9. Safari
Safari es un navegador web de código cerrado desarrollado por Apple.
Está disponible para Mac OS X, iOS y Windows.
Ahora vamos a analizar varios aspectos relacionados con la seguridad
de éste navegador en su version 5.1:
-Fecha lanzamiento: Julio 2011
- Vulnerabilidades: 424
- Advisories: 14
Unpatched: 21% (3 de 14 advisories)
Vulnerabilidad más crítica sin
parchear: Muy Crítico. (Hay vulnerabilidades
que pueden comprometer al sistema, pero no se conocen exploit)
10. Safari
- Versiones posteriores: 1 versión, es la versión actual la 6.0 que fue
lanzada en Agosto de 2012.
Política de actualización: Las actualizaciones de seguridad se
incorporan normalmente en actualizaciones
de software posteriores.
Según Apple: “Con el fin de proteger a
nuestros clientes, Apple no revelará,
discutirá ni confirmará problemas de
seguridad hasta que se haya llevado a
cabo una investigación exhaustiva y
estén disponibles las revisiones o
versiones necesarias”.
11. Safari
- Política de recompensa:
Apple recompensa a quienes descubren vulnerabilidades en
Safari. En ningún lugar se menciona la cuantía de estas
recompensas, pero se indica que más
de la mitad de éstas vulnerabilidades
son descubiertas por los ingenieros
de google.
12. Mozilla Firefox
Mozilla Firefox es un navegador web libre y de código abierto creado por la
corporación Mozilla. Ahora analizaremos varios aspectos con respecto a la
seguridad de la versión 4 de este gran navegador.
-Fecha de lanzamiento: Marzo 2011
-Vulnerabilidades: 14
-Advisories: 2
-Sin parchear: 50%
-Vulnerabilidad más crítica sin parchear: Highly critical (significa que sus
vulnerabilidades pueden ser explotadas en remoto pero aún no existe ningún exploit)
-Número de versiones: 17
-Última versión estable: 15
13. Política de recompensa: Por cada agujero descubierto se recompensará con
3000$ USD y una camiseta de Mozilla.
Tiempo de reacción: 1 día aproximadamente
Según Secunia, la última versión estable de Mozilla Firefox 15 NO TIENE
VULNERABILIDADES
http://secunia.com/advisories/product/42261/
14. -En este cuadrante podemos ver el % de
uso de las versiones de firefox y el % del
total de los usuarios de Internet que usan
este buscador
15. Estadísticas de Vulnerabilidades
(Versiones analizadas anteriormente)
450
400
350
300
Chrome 10
250 Firefox 4
Internet Explorer 9
200
Safari 5
150
100
64
50
14
0
16. Estadísticas de Vulnerabilidades
(Versiones estables)
70
64
61
60
50
Google Chrome 21
40
Firefox 15
Interner Explorer 9
30 Safari 6
20
15
10
0
0
17. Criticidad
80
70
60
50
Extrema
Alta
40 Moderada
Baja
Ninguna
30
20
10
0
Chrome Explorer Safari Firefox