|
Secunia: Red Hat tuvo más fallos que Microsoft en 2007
|
|
VSantivirus No 2618 Año 11, sábado 19 de enero de 2008
Secunia: Red Hat tuvo más fallos que Microsoft en 2007
http://www.vsantivirus.com/19-01-08.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Según reporta Secunia, la compañía danesa de investigación de vulnerabilidades, en 2007 los sistemas operativos Red Hat tuvieron más agujeros de seguridad que Windows.
De acuerdo a lo que informa un documento titulado "Secunia 2007 Report", la compañía comparó los reportes de vulnerabilidades detectadas durante el pasado año en cinco sistemas operativos: Microsoft Windows (98 en adelante), Mac OS X, HP-UX 10.x y 11.x, Solaris 8, 9 y 10, y Red Hat (menos Fedora).
La compañía encontró que Red Hat tuvo mas vulnerabilidades reportadas que los otros sistemas operativos, con un total de 633 fallos. Solaris tuvo un total de 252 vulnerabilidades, mientras que Apple Mac OS X terminó tercero con 235. Windows está en cuarto lugar con 123, mientras que HP-UX tuvo 75 fallas reportadas.
Si embargo, el director del Red Hat Security Team, Mark Cox negó que el conteo de vulnerabilidades fuera de 633 para Red Hat, diciendo que fueron 404 vulnerabilidades en 2007.
"Secunia liberó un informe resumido para 2007 con la asombrosa cifra de mas de 600 vulnerabilidades de Red Hat en el año", explicó Cox. "No tengo idea de cómo obtuvieron este número, ciertamente no concuerda con nuestros cálculos. Para todos los productos y servicios de Red Hat en 2007 registramos 306 boletines para corregir 404 vulnerabilidades. De esas 404 vulnerabilidades 41 fueron críticas".
La mayoría de las personas no usan todos los productos de Red Hat, dijo Cox. Por ejemplo, si se considera solo al producto Enterprise Linux de Red Hat, existieron 48 vulnerabilidades, de las cuales 27 fueron críticas, afirma Cox.
Cox también dice que solo el conteo de las vulnerabilidades "no es muy útil y solo es una pequeña parte del riesgo total al usar un producto".
Secunia dijo que mientras Red Hat tuvo mas vulnerabilidades reportadas que Windows, no fue posible compararlas en cuestiones de seguridad con los productos Microsoft, o comentar sobre tópicos de seguridad en productos de código abierto contra productos propietarios basados en las vulnerabilidades mostradas.
"Es imposible hacer una comparación justa - es como comparar manzanas con naranjas", dijo a la publicación ZDNet, Thomas Kristensen, oficial en jefe de tecnología de Secunia. "Red Hat tiene un mayor número de aplicaciones incluidas, así que el numero de vulnerabilidades que las afectan tiende a ser mayor".
Red Hat incluye dos diferentes navegadores e interfases gráficas, así como varios lectores PDF e editores de imágenes, dijo Secunia. Red Hat, HP-UX y Solaris pueden ser utilizados como servidores, así que incluyen y soportan un gran numero de componentes de terceros. "Esto no puede decirse de todas las versiones de Windows y MAc OS X", explicó Secunia.
"Servidores Web, de base de datos, herramientas de almacenamiento, suites de productividad para oficinas, hay dos de todo cuando se trata de Red Hat", afirma Kristensen. "Windows XP solo puede ser usado como estación de trabajo. Si usted quiere usar XP, por ejemplo, como servidor Web, tiene que comprar software, ya sea de Microsoft o de un tercero".
Kristensen dijo que el software de terceros fue un factor clave que afectó el número de vulnerabilidades atribuidas a sus respectivos sistemas operativos. Con Red Hat, 99 por ciento o 629 de las vulnerabilidades, fueron debidas a componentes de otros vendedores. Con Windows, cuatro por ciento de las fallas fueron causadas por software de terceros.
Una de las diferencias entre los sistemas operativos, dijo Kristensen, fue que Red Hat notificó a sus usuarios de las fallas de terceros que afectaban sus sistemas operativos, aún cuando no lo soportaran. Microsoft, por otro lado, solo notificó a los usuarios de los fallos bajo su control.
"Si no tiene que instalar herramientas de terceros en sistemas Red Hat, es mas fácil saber acerca de las vulnerabilidades", dijo Kristensen. "Con Microsoft, usted tiene los boletines de Microsoft, boletines de Apple, boletines de Adobe - de donde sea que haya obtenido el software". Kristensen agregó que el tiempo que toma parchar vulnerabilidades divulgadas públicamente, fue además mucho mayor para los sistemas Microsoft, comparado con el software de código abierto.
"La tendencia general es que los problemas críticos en aplicaciones de código abierto tardan mucho menos en ser solucionadas, si se comparan con Microsoft", dijo Kristensen. "Para fallos divulgados irresponsablemente, es crítico el tiempo que se tarda en publicar los parches. Microsoft es una compañía muy grande con cierto nivel de burocracia. Solo Microsoft puede remediar errores de parchado. Hay un período para probar la calidad de la solución antes de que el parche esté disponible. Con los proyectos de código abierto, si existe incompatibilidad con un parche, se puede cambiar el código. Existe un dialogo abierto con la comunidad, y usted puede corregirlo desde ahí".
Fuentes:
Secunia: More Red Hat flaws than Microsoft in 2007
http://news.zdnet.co.uk/security/0,1000000189,39292173,00.htm
Secunia 2007 Report (archivo PDF)
http://secunia.com/gfx/SECUNIA_2007_Report.pdf
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|