Hemos realizado un estudio sobre once fabricantes para conocer cuánto tardan en corregir sus vulnerabilidades reportadas de forma privada. Sobre 1045 fallos, la conclusión es que la media global es de 177 días, mientras que RealNetworks tarda 321 días y Mozilla sólo 74.

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes "perciben" el peligro de utilizar ese software. En Hispasec hemos realizado un estudio sobre 1.045 vulnerabilidades de los fabricantes: Novell, HP, Microsoft, Apple, IBM, CA, Symantec, Oracle, Adobe, Mozilla y RealNetworks desde 2005.

Este es una actualización del estudio realizado en 2009. Si hace dos años se analizaron 449 vulnerabilidades desde 2005 hasta septiembre de 2009, ahora se amplía el cálculo desde 2005 hasta final de julio de 2011 con 1.045. Además, se añaden dos fabricantes a la comparativa: RealNetworks y Mozilla que curiosamente son el que peor y mejor media tienen respectivamente.
 http://blog.hispasec.com/laboratorio/images/noticias/mediavulns.png

Algunas de las conclusiones del nuevo estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad es solucionada dos años después de ser descubierta, y otros en los que se tardan apenas unos días. La mayoría de las vulnerabilidades se resuelven antes de 6 meses (un 67,53%), pero aun así en cerca del 10% de los casos se necesita más de un año para arreglarlas.

Los resultados obtenidos se podrían clasificar en dos grandes grupos:

* RealNetworks, Oracle, IBM, HP y Microsoft que pasan de la media global.

* Novell, Apple, CA, Symantec, Adobe y Mozilla que bajan de la media global, destacando Mozilla como el que disfruta de la media más baja.

El 93% de las vulnerabilidades de Mozilla y el 83,60% de las de Novell, se corrigen antes de los 6 meses, mientras que RealNetworks y Microsoft lo consiguen solo en el 33,3 y 52% de los casos respectivamente.

Todos los datos y el informe completo, está disponibles desde:

 http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades_v2.pdf


El anterior informe:
 http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf

Sergio de los Santos
 ssantos@hispasec.com
Twitter: @ssantosv

FUENTE :http://www.hispasec.com/unaaldia/4666