Microsoft corrigió 133 vulnerabilidades críticas o
importantes en 2006, más del doble que en 2005, de acuerdo a datos recogidos
por McAfee.
Tanto Microsoft como McAfee apunta a una gran variedad de factores
como la causa del aumento de las vulnerabilidades, pero ninguno de estos
sugiere que existe algo malo en la calidad del código de Windows.
Dave Marcus, investigador de seguridad y administrador de
comunicaciones de McAfee, dijo que la culpa no necesariamente es de Microsoft, ya
que el software de Microsoft debido a su popularidad es el principal objetivo a
la hora de hacer exploits y generar nuevos códigos maliciosos.
“Cuando volvemos a hablar acerca de las vulnerabilidades, la
existencia de una vulnerabilidad en si mismo no es que exista un incremento del
riesgo” comento Marcus.
“El aumento de las vulnerabilidades críticas realmente sólo
significa un aumento en vulnerabilidades; las vulnerabilidades están en primer
lugar.”
Marcus apuntó a que se detectan y eliminan cada posible
vulnerabilidad en una aplicación como Windows o Office, los cuales contienen millones
de líneas de código y por tal vuelve imposible detectar todos los problemas.
Investigadores de vulnerabilidades y escritores de códigos
maliciosos están enfocando sus investigaciones a vulnerabilidades críticas.
Debido a que con estas pueden instalar código malicioso y spyware, lo cual es
lo más útil para una explotación de vulnerabilidad.
“La vulnerabilidad crítica es definitivamente el objetivo”
comento Marcus.
Mark Millar, director del centro de respuesta de seguridad
de Microsoft, estuvo de acuerdo de que el incremento monetario en el
descubrimiento y explotación de vulnerabilidades de seguridad esta causando que
más vulnerabilidades sean encontradas.
“Creo que hay un aumento a través de la industria” comentó
Millar.
Marcus piensa que el dominio del mercado de Microsoft los ha
vuelto el objetivo de los investigadores de seguridad y de autores de código
maliciosos, y la aplicación menos popular es la que tiene menos victimas
potenciales.
Tanto Microsoft como McAfee están de acuerdo en que las
nuevas características de seguridad en Windows Vista tienen la posibilidad de
afectar al gran número de vulnerabilidades críticas publicadas el siguiente año.
“Creo que Vista tendrá un impacto positivo en lo que estas
vulnerabilidades pueda hacer. Este mitigara el impacto de ciertos tipos”
comento Marcus.
“Pero al final del día las vulnerabilidades vendrán a menos
en el código, y los hackers continuaran encontrando vulnerabilidades en el código.”
Marcus agregó que la tendencia de vulnerabilidades
encontradas en productos de Microsoft continuara en 2007.
“Definitivamente veremos un aumento de vulnerabilidades.
Existen en teoría miles de vulnerabilidades esperando ser descubiertas” comento
Marcus.
Seguridad en Cómputo 