SlideShare una empresa de Scribd logo
1 de 17
Descargar para leer sin conexión
Vulnerabilidades en
   Navegadores




                Carlos Mejías
                David Tejero
                  Leo Bernal
Índice

●   Google Chrome
●   Internet Explorer
●   Safari
●   Mozilla Firefox
●   Estadísticas de Vulnerabilidades
●   Estadísticas de Vulnerabilidades (versión estable)
●   Criticidad
Google Chrome
Google Chrome es un navegador web desarrollado por Google y compilado
con base en componentes de código abierto, disponible gratuitamente bajo
condiciones de servicio específicas.
 A continuación, analizaremos varios aspectos en torno a la seguridad de este
navegador en su versión 10.
- Fecha de lanzamiento: Marzo 2011
- Vulnerabilidades: 33
- Advisories: 5
- Unpatched: 20% (1 de 5 advisories)
- Vulnerabilidad más crítica sin parchear: Muy Crítico. (Explotable localmente,
remotamente, sin intervención de usuario pero sin exploit)

- Versiones posteriores: 22 versiones, actualmente la versión 21 es la estable.

- Política de actualización: Lanzan un versión prácticamente a cada mes.
Google Chrome
- Política de recompensa:

 ➢$60,000 – “Explotación completa de Chrome”: Solo deben utilizarse
   errores en Google Chrome.
 ➢$40,000 – “Explotación parcial de Chrome”: Al menos uno de los errores
   utilizados debe ser de Google Chrome. Por ejemplo, un error en WebKit
   combinado con un error de islamiento de procesos de Windows.
 ➢$20,000 – “Recompensa deconsuelo, Flash / Windows / otra”: Se utilizan
   errores externos a Google Crome. Estos errores pudieran afectar no solo a
   Chrome sino a cualquier otro navegador.
Además recibirán tambien una Chromebook.
●   Como vemos, en este historial de
    versiones, Google Chrome lanza
    una nueva versión a cada mes y
    medio, y automáticamente deja
    de dar soporte a las anteriores.
    Actualmente nos encontramos en
    la versión 21 y la 22 se encuentra
    en desarrollo.
Internet Explorer
Windows Internet Explorer es un navegador web desarrollado por Microsoft
para el sistema operativo Microsoft Windows desde 1995,
 Seguidamente, analizaremos varios aspectos relacionados con la seguridad de
Internet Explorer 9.x
- Fecha de lanzamiento: Marzo 2011
- Vulnerabilidades: 64
- Advisories: 12
- Unpatched: 8% (1 de 12 advisories)
- Vulnerabilidad más crítica sin
parchear:No Crítico. (Explotable localmente)
- Versiones posteriores: 4 versiones, actualmente la versión 9,0 es la estable.,
aunque está por confirmar la 10.0 (Windows 8)
- Política de actualización: Lanzan un versión aproximadamente cada año y
medio
Internet Explorer

- Política de recompensa:
No ofrecen recompensa monetaria por los errores, lo que hacen es reconocer y
honrar el talento. Muchas personas influyentes dentro de la comunidad de
investigadores se unen a los equipos de seguridad como empleados de
Microsoft.
“Valoramos el ecosistema de los investigadores y
lo demostramos de diversas maneras, pero
no creemos que el pago de vulnerabilidades
 sea lo mejor. Especialmente cuando
dentro de la comunidad de investigadores
las motivaciones no siempre son financieras”.
Internet Explorer
       ●   Actualmente la versión 9.0
               está estable. Para la
                 versión 6.0 sigue
              habiendo soporte solo
             para Windows XP SP3,
             para todas las anteriores
            no hay soporte o incluso
            hay algunas en desarrollo
                  (abandonadas).
             ● Están trabajando en

              Internet Explorer 10.0
Safari

Safari es un navegador web de código cerrado desarrollado por Apple.
 Está disponible para Mac OS X, iOS y Windows.
Ahora vamos a analizar varios aspectos relacionados con la seguridad
 de éste navegador en su version 5.1:
-Fecha lanzamiento: Julio 2011
- Vulnerabilidades: 424
- Advisories: 14
Unpatched: 21% (3 de 14 advisories)
Vulnerabilidad más crítica sin
parchear: Muy Crítico. (Hay vulnerabilidades
que pueden comprometer al sistema, pero no se conocen exploit)
Safari

- Versiones posteriores: 1 versión, es la versión actual la 6.0 que fue
lanzada en Agosto de 2012.
Política de actualización: Las actualizaciones de seguridad se
incorporan normalmente en actualizaciones
de software posteriores.
Según Apple: “Con el fin de proteger a
nuestros clientes, Apple no revelará,
discutirá ni confirmará problemas de
seguridad hasta que se haya llevado a
cabo una investigación exhaustiva y
estén disponibles las revisiones o
versiones necesarias”.
Safari
- Política de recompensa:


Apple recompensa a quienes descubren vulnerabilidades en
Safari. En ningún lugar se menciona la cuantía de estas
recompensas, pero se indica que más
de la mitad de éstas vulnerabilidades
son descubiertas por los ingenieros
de google.
Mozilla Firefox
Mozilla Firefox es un navegador web libre y de código abierto creado por la
corporación Mozilla. Ahora analizaremos varios aspectos con respecto a la
seguridad de la versión 4 de este gran navegador.


-Fecha de lanzamiento: Marzo 2011
-Vulnerabilidades: 14
-Advisories: 2
-Sin parchear: 50%
-Vulnerabilidad más crítica sin parchear: Highly critical (significa que sus
vulnerabilidades pueden ser explotadas en remoto pero aún no existe ningún exploit)

-Número de versiones: 17
-Última versión estable: 15
Política de recompensa: Por cada agujero descubierto se recompensará con
3000$ USD y una camiseta de Mozilla.




Tiempo de reacción: 1 día aproximadamente


Según Secunia, la última versión estable de Mozilla Firefox 15 NO TIENE
VULNERABILIDADES
http://secunia.com/advisories/product/42261/
-En este cuadrante podemos ver el % de
uso de las versiones de firefox y el % del
total de los usuarios de Internet que usan
este buscador
Estadísticas de Vulnerabilidades
       (Versiones analizadas anteriormente)




450


400


350


300
                                              Chrome 10
250                                           Firefox 4
                                              Internet Explorer 9
200
                                              Safari 5

150


100
                       64
50
            14
 0
Estadísticas de Vulnerabilidades
              (Versiones estables)




70
                    64
                              61
60



50


                                     Google Chrome 21
40
                                     Firefox 15
                                     Interner Explorer 9
30                                   Safari 6


20
     15

10

          0
0
Criticidad

80


70


60


50
                                            Extrema
                                            Alta
40                                          Moderada
                                            Baja
                                            Ninguna
30


20


10


0
     Chrome   Explorer   Safari   Firefox

Más contenido relacionado

Similar a Vulnerabilidades en navegadores

Similar a Vulnerabilidades en navegadores (20)

Navegadores
NavegadoresNavegadores
Navegadores
 
Presentación Google Chrome (subir Blogger)
Presentación Google Chrome (subir Blogger)Presentación Google Chrome (subir Blogger)
Presentación Google Chrome (subir Blogger)
 
Navegadores
NavegadoresNavegadores
Navegadores
 
Diferencias de navegadores
Diferencias de navegadoresDiferencias de navegadores
Diferencias de navegadores
 
Ventanas emergentes
Ventanas emergentesVentanas emergentes
Ventanas emergentes
 
los navegadores
los navegadoreslos navegadores
los navegadores
 
Los navegadores
Los navegadoresLos navegadores
Los navegadores
 
Navegadores
NavegadoresNavegadores
Navegadores
 
Navegadores
NavegadoresNavegadores
Navegadores
 
Presentación1
Presentación1Presentación1
Presentación1
 
Navegadores
NavegadoresNavegadores
Navegadores
 
El Internet
El InternetEl Internet
El Internet
 
Navegadores
NavegadoresNavegadores
Navegadores
 
Navegadores
NavegadoresNavegadores
Navegadores
 
Lina y daisy sistema
Lina y daisy sistemaLina y daisy sistema
Lina y daisy sistema
 
Andrea reinoso
Andrea reinosoAndrea reinoso
Andrea reinoso
 
Tipos nabegadores y buscadores
Tipos nabegadores y buscadoresTipos nabegadores y buscadores
Tipos nabegadores y buscadores
 
Navegadores de internet[1][1]
Navegadores de internet[1][1]Navegadores de internet[1][1]
Navegadores de internet[1][1]
 
Navegadores web
Navegadores webNavegadores web
Navegadores web
 
El navegador internet explorer
El navegador internet explorerEl navegador internet explorer
El navegador internet explorer
 

Vulnerabilidades en navegadores

  • 1. Vulnerabilidades en Navegadores Carlos Mejías David Tejero Leo Bernal
  • 2. Índice ● Google Chrome ● Internet Explorer ● Safari ● Mozilla Firefox ● Estadísticas de Vulnerabilidades ● Estadísticas de Vulnerabilidades (versión estable) ● Criticidad
  • 3. Google Chrome Google Chrome es un navegador web desarrollado por Google y compilado con base en componentes de código abierto, disponible gratuitamente bajo condiciones de servicio específicas. A continuación, analizaremos varios aspectos en torno a la seguridad de este navegador en su versión 10. - Fecha de lanzamiento: Marzo 2011 - Vulnerabilidades: 33 - Advisories: 5 - Unpatched: 20% (1 de 5 advisories) - Vulnerabilidad más crítica sin parchear: Muy Crítico. (Explotable localmente, remotamente, sin intervención de usuario pero sin exploit) - Versiones posteriores: 22 versiones, actualmente la versión 21 es la estable. - Política de actualización: Lanzan un versión prácticamente a cada mes.
  • 4. Google Chrome - Política de recompensa: ➢$60,000 – “Explotación completa de Chrome”: Solo deben utilizarse errores en Google Chrome. ➢$40,000 – “Explotación parcial de Chrome”: Al menos uno de los errores utilizados debe ser de Google Chrome. Por ejemplo, un error en WebKit combinado con un error de islamiento de procesos de Windows. ➢$20,000 – “Recompensa deconsuelo, Flash / Windows / otra”: Se utilizan errores externos a Google Crome. Estos errores pudieran afectar no solo a Chrome sino a cualquier otro navegador. Además recibirán tambien una Chromebook.
  • 5. Como vemos, en este historial de versiones, Google Chrome lanza una nueva versión a cada mes y medio, y automáticamente deja de dar soporte a las anteriores. Actualmente nos encontramos en la versión 21 y la 22 se encuentra en desarrollo.
  • 6. Internet Explorer Windows Internet Explorer es un navegador web desarrollado por Microsoft para el sistema operativo Microsoft Windows desde 1995, Seguidamente, analizaremos varios aspectos relacionados con la seguridad de Internet Explorer 9.x - Fecha de lanzamiento: Marzo 2011 - Vulnerabilidades: 64 - Advisories: 12 - Unpatched: 8% (1 de 12 advisories) - Vulnerabilidad más crítica sin parchear:No Crítico. (Explotable localmente) - Versiones posteriores: 4 versiones, actualmente la versión 9,0 es la estable., aunque está por confirmar la 10.0 (Windows 8) - Política de actualización: Lanzan un versión aproximadamente cada año y medio
  • 7. Internet Explorer - Política de recompensa: No ofrecen recompensa monetaria por los errores, lo que hacen es reconocer y honrar el talento. Muchas personas influyentes dentro de la comunidad de investigadores se unen a los equipos de seguridad como empleados de Microsoft. “Valoramos el ecosistema de los investigadores y lo demostramos de diversas maneras, pero no creemos que el pago de vulnerabilidades sea lo mejor. Especialmente cuando dentro de la comunidad de investigadores las motivaciones no siempre son financieras”.
  • 8. Internet Explorer ● Actualmente la versión 9.0 está estable. Para la versión 6.0 sigue habiendo soporte solo para Windows XP SP3, para todas las anteriores no hay soporte o incluso hay algunas en desarrollo (abandonadas). ● Están trabajando en Internet Explorer 10.0
  • 9. Safari Safari es un navegador web de código cerrado desarrollado por Apple. Está disponible para Mac OS X, iOS y Windows. Ahora vamos a analizar varios aspectos relacionados con la seguridad de éste navegador en su version 5.1: -Fecha lanzamiento: Julio 2011 - Vulnerabilidades: 424 - Advisories: 14 Unpatched: 21% (3 de 14 advisories) Vulnerabilidad más crítica sin parchear: Muy Crítico. (Hay vulnerabilidades que pueden comprometer al sistema, pero no se conocen exploit)
  • 10. Safari - Versiones posteriores: 1 versión, es la versión actual la 6.0 que fue lanzada en Agosto de 2012. Política de actualización: Las actualizaciones de seguridad se incorporan normalmente en actualizaciones de software posteriores. Según Apple: “Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las revisiones o versiones necesarias”.
  • 11. Safari - Política de recompensa: Apple recompensa a quienes descubren vulnerabilidades en Safari. En ningún lugar se menciona la cuantía de estas recompensas, pero se indica que más de la mitad de éstas vulnerabilidades son descubiertas por los ingenieros de google.
  • 12. Mozilla Firefox Mozilla Firefox es un navegador web libre y de código abierto creado por la corporación Mozilla. Ahora analizaremos varios aspectos con respecto a la seguridad de la versión 4 de este gran navegador. -Fecha de lanzamiento: Marzo 2011 -Vulnerabilidades: 14 -Advisories: 2 -Sin parchear: 50% -Vulnerabilidad más crítica sin parchear: Highly critical (significa que sus vulnerabilidades pueden ser explotadas en remoto pero aún no existe ningún exploit) -Número de versiones: 17 -Última versión estable: 15
  • 13. Política de recompensa: Por cada agujero descubierto se recompensará con 3000$ USD y una camiseta de Mozilla. Tiempo de reacción: 1 día aproximadamente Según Secunia, la última versión estable de Mozilla Firefox 15 NO TIENE VULNERABILIDADES http://secunia.com/advisories/product/42261/
  • 14. -En este cuadrante podemos ver el % de uso de las versiones de firefox y el % del total de los usuarios de Internet que usan este buscador
  • 15. Estadísticas de Vulnerabilidades (Versiones analizadas anteriormente) 450 400 350 300 Chrome 10 250 Firefox 4 Internet Explorer 9 200 Safari 5 150 100 64 50 14 0
  • 16. Estadísticas de Vulnerabilidades (Versiones estables) 70 64 61 60 50 Google Chrome 21 40 Firefox 15 Interner Explorer 9 30 Safari 6 20 15 10 0 0
  • 17. Criticidad 80 70 60 50 Extrema Alta 40 Moderada Baja Ninguna 30 20 10 0 Chrome Explorer Safari Firefox