(Fonte da imagem: http://www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf em 06/04/2009 às 00h11min)
Muitas vezes as pessoas me perguntam: qual o melhor software para isso? O que devo baixar? Onde? Comprar ou usar software livre?
Hoje vou dar uma dica de onde você deve olhar o que não deve usar.
A Bit9 é uma empresa de segurança americana que analisa softwares/aplicativos quanto aos riscos que oferecem no uso corporativo. Em dezembro do ano passado (dia 11) ela publicou seu ranking anual dos programas mais arriscados. O título do estudo - "2008’s Popular Applications with Critical Vulnerabilities" - poderia ser traduzido como "Aplicativos populares de 2008 com vulnerabilidades críticas".
O resultado do estudo realizado chama-se de Dirty Dozen, que pode ser traduzido como "os Doze Sujos".
Seguem os softwares e as versões "condenadas" pelo estudo:
1. Mozilla Firefox
Mozilla Firefox 3.x, 2.x
2. Adobe Flash & Acrobat
Adobe Flash 10.x antes do 10.0.12.36 e
9.x antes do 9.0.151.0
Adobe Acrobat 8.1.2, 8.1.1
3. EMC VMware Player,Workstation e outros produtos
EMC VMware Player ESXi 3.5 ou mais recente
Workstation e Workstation 5.5.x, (Workstation 5.5.6,
outros produtos Player 2.0.x & 1.0.x, Player 2.0.3 & 1.0.6,
ACE 2.0.x & 1.0.x ACE 2.0.1 & 1.0.5)
4. Sun Java Runtime Environment (JRE)
Sun Java JDK and JRE Version 6 Update 6
5. Apple QuickTime, Safari & iTunes
Apple QuickTime 7.5.5
Apple Safari 6.0.5.20
Apple iTunes 3.2, 3.1.2
6. Symantec
Produtos Symantec Norton (todas as variações/ tipos de 2.7.0.1
2006 a 2008)
7. Trend Micro
Trend Micro 8.0 SP1 antes do
OfficeScan build 2439 e
8.0 SP1 Patch 1
antes do build 3087
8. Citrix Products
Produtos Citrix Deterministic
Network Enhancer
DNE) 2.21.7.233
até 3.21.7.17464,
Access Gateway 4.5.7,
Presentation Server 4.5
9. Aurigma, Lycos
Aurigma Image 4.6.17.0, 4.5.70.0,
Uploader, Lycos 4.5.126.0
FileUploader
10. Skype
Skype 3.6.0.248
11. Yahoo! Assistant
Yahoo! Assistant 3.6.
12. Microsoft Windows Live (MSN) Messenger
Microsoft Windows 4.7 & 5.1
Live (MSN) Messenger
Para conseguir figurar nesta lista, os aplicativos foram submetidos aos segintes critérios:
1) roda no Windows;
2) é conhecido no mercado e alvo de muitos downloads pelo consumidor;
3) não é classificado como produto malicioso pelas organizações de TI e empresas de segurança; 4) contém no mínimo uma vulnerabilidade, descoberta a partir de janeiro de 2008 e registrada no NIST (instituto americano de padrões) com severidade classificada entre 7 e 10 no sistema CVSS;
5) depende do usuário final, e não de uma administração central, para ser atualizado.
Para fazer uma 'checagem dupla' basta ir no site do NIST e comparar as vulnerabilidades.
Em uma próxima oportunidade falarei do boletim de antivírus, o VB-100.
Um abraço da
***Anita***
Nenhum comentário:
Postar um comentário
Se você gostou, ou tem críticas/sugestões, deixe seu comentário (os comentários são moderados, mas podem ser anônimos)