• Tweet

IBM admite errores en su reporte X-Force, ahora dice que Google parchó todas las vulnerabilidades descubiertas en el primer semestre de 2010.

El lunes Google indicó que era falso un reciente reporte que señalaba que no se había parchado un tercio de errores serios en su software.

El grupo X-Force de IBM, que publicó el reporte la semana pasada, confirmó el error y liberó una tabla revisada que muestra que Google parchó todas las vulnerabilidades que se catalogaron como "críticas" o "altas" en sus servicios web.

"Cuestionamos cierta cantidad de descubrimientos importantes en relación a la tasa de vulnerabilidad y respuesta de Google, y luego de discutirlo con IBM, descubrimos una cantidad de errores que tuvieron una implicación importante en las conclusiones del reporte". dijo Adam Mein, un administrador de programas de seguridad en Google en un blog de la compañía.

La semana pasada, el reporte de X-Force indicó que el 9% de las vulnerabilidades conocidas en el primer semestre de 2010 se encontraban sin parche y que 33% de las catalogadas como altas o críticas no habían sido parchadas.

De acuerdo a las tablas corregidas por IBM, Google parchó todas las vulnerabilidades reveladas en los primeros seis meses del presente año.

"Después de que publicamos nuestro reporte, recibimos retroalimentación de dos vendedores de software respecto a la información de severidad y parches de algunas de las vulnerabilidades de la tabla", dijo Tom Cross, un investigador de X-Force, en el blog publicado el sábado."Como consecuencia de la retroalimentación, hemos asignado una nueva puntuación al CVSS, a la información para solucionar las vulnerabilidades y a la información de las compañías de software por cada vulnerabilidad que aparece en la tabla".

El post de Cross incluyó una tabla que tiene las nuevas cifras. A pesar de que Cross no mencionó el nombre de las otras empresas de software que se quejaron de su información, las cifras para Sun Microsystems también cambiaron de manera dramática. La tabla original mostraba 24% de vulnerabilidades sin parche para el primer semestre de 2010 y 9% de las vulnerabilidades más severas sin solución. Las nuevas cifras señalan 8% y 0% respectivamente. Los cambios mueven a Sun del primer lugar con mayor cantidad de vulnerabilidades sin parche al quinto lugar. En abril, Oracle anunció sus planes para adquirir a Sun por 7.4 mil millones de dólares, X-Force enlista las vulnerabilidades de las compañías de manera separada.

Después de que X-Force reexaminó sus datos, el porcentaje de vulnerabilidades también disminuyó para otras compañías de software, incluyendo a Microsoft y a Mozilla, así como la categoría de Linux.

Lo que llamó la atención de Google fue su afirmación de que 1 de cada 3 vulnerabilidades no tenían parche.

"Después de realizar una investigación sobre la cifra de 33% de vulnerabilidades sin parche, se determinó que se refería a una sola vulnerabilidad de un total de 3. Lo más relevante fue el hecho de que ésta se considerara sin parche sólo por un error de terminología" dijo Mein.

En 2009, Mein citó un blog de Jonathan Ness,investigador de seguridad de Microsoft, en donde se indica que "stack overflows" no es lo mismo que "stack buffer overflows" y que el primero no debe ser considerado como una vulnerabilidad, puesto que no puede ser usado por un atacante para insertar código en una computadora.

No es inusual que las compañías de software cuestionen la información de investigadores de seguridad independientes. Mozilla, por ejemplo, continuamente ha estado en desacuerdo con los reportes que señalan que Firefox tiene más fallas de seguridad que otros navegadores, puesto que el enfoque de Firefox es de código abierto, lo que los obliga a hacer públicas sus vulnerabilidades, mientras que otras empresas como Apple y Microsoft pueden arreglar sus fallas sin necesidad de revelar cuáles son.

En ocasiones, los desarrolladores también están en desacuerdo con los investigadores de seguridad sobre la severidad de las vulnerabilidades. Hace poco más de dos años, Microsoft señaló que una vulnerabilidad de Windows era un "error de diseño", semanas después cambió su opinión y la catalogó como un problema de seguridad.

X-Force también ha tenido problemas con sus cálculos sobre vulnerabilidades. En el reporte dado a conocer la semana pasada la compañía admitió que la metodología que usó para compilar la edición de 2009 tenía errores y dijo que corrigió el problema para que los resultados fueran más confiables en el reporte del primer semestre de 2010. Cross indicó que X-Force liberará un reporte revisado esta semana.