12 programas mais populares que carregam falhas de segurança grave

3 de novembro de 2007 15 respostas

kissdemon 3 de novembro de 2007

São Paulo, 01 de novembro de 2007 - O popular Yahoo Messenger encabeça a lista dos 12 programas considerados mais perigosos em termos de falhas de segurança. A empresa que vende tecnologia de controle de aplicações e dispositivos, Bit9 fez um ranking das aplicações mais procuradas, mas que ao mesmo tempo são as mais afetadas por brechas.

A companhia utilizou diversos critérios para determinar os integrantes da lista, entre eles, rodar em Windows, ser amplamente baixado e usado, não ser classificado como software malicioso pelos departamentos de informática das empresas de segurança, conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:

Yahoo Messenger, 8.1.0.239 e anteriores
Apple QuickTime 7.2
Mozilla Firefox 2.0.0.6
Microsoft Windows Live (MSN) Messenger 7.0, 8.0
EMC VMware Player (e outros) 2.0, 1.0.4
Apple iTunes 7.3.2
Intuit QuickBooks Online Edition, 9 e anteriores
8. Sun Java Runtime Environment (JRE) 1.6.0_X
Yahoo Widgets 4.0.5 e anteriores
Ask.com Toolbar 4.0.2.53 e anteriores
O driver da Broadcom para dispositivos wireless como o utilizado no Cisco Linksys WPC300N Wireless-N Notebook Adapter 3.50.21.10
Macrovision (antiga InstallShield) InstallFromTheWeb, sem versão

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=9335

15 Respostas

Luca 3 de nov. de 2007

Olá

Colocar este X como versão seria o mesmo que dizer que TODAS as versões do Java são vulneráveis. Como nenhum site sério de segurança no mundo diz isto, só posso concluir que toda esta lista é idiota e nem preciso analisar os demais softwares.

[]s
Luca

abstract 3 de nov. de 2007

Ow, I’m really scared! :shock: Bacaninha a listinha, da uma olhada nessa aqui tb

Faltou o primeiro item, Microsoft X ehehehehe. Desculpe.

kissdemon 3 de nov. de 2007

Pois é, não conheço essa tal de Bit9 a ponto de confiar em uma lista como essa, mas esse “X” realmente faz pensar que essa lista não deve ser levada a sério.
Entrei no site e achei um pequeno descritivo da empresa:

About Bit9, Inc.
Bit9, Inc. is the leading provider of application control and device control solutions. The company’s award-winning, patent-pending whitelisting technology prevents malicious software and data leakage by centrally controlling which applications and devices can and cannot operate.

Unlike other application control and device control alternatives, Bit9 leverages the world’s largest knowledgebase of application intelligence to achieve business-friendly whitelisting, enabling IT professionals to realize the highest levels of desktop security, compliance, and manageability. Founded in 2002 by the founders of Okena (acquired by Cisco Systems (NASDAQ: CSCO)) and headquartered in Cambridge, Massachusetts, Bit9 is a privately held company. For more information, visit http://www.bit9.com/.

[]´s

Carlos

Rafael_Steil 3 de nov. de 2007

Luca:
Olá

kissdemon:

8. Sun Java Runtime Environment (JRE) 1.6.0_X

Colocar este X como versão seria o mesmo que dizer que TODAS as versões do Java são vulneráveis. Como nenhum site sério de segurança no mundo diz isto, só posso concluir que toda esta lista é idiota e nem preciso analisar os demais softwares.

[]s
Luca

E se todas minor releases de fato forem, ate a data atual?

Rafael

ramilani12 3 de nov. de 2007

mas essa lista nao deve ser levada a serio mesmo é obvio que bugs serão encontrados nas futuras JRE´s

Parece aqueles videntes que desvendam o obvio:
:arrow: toda familia há algum tipo de problema
:arrow: vc ja passou por algum tipo de problema na escola
:arrow: vc ja passou por algum problema financeiro

alfrben 3 de nov. de 2007

Já foi corrigidos as falhas no Sun Java Runtime Environment (JRE) 1.6.0_X

conforme artigo do IDG Now

http://idgnow.uol.com.br/seguranca/2007/10/04/idgnoticia.2007-10-04.[telefone removido]/

Luca 3 de nov. de 2007

Olá

Teria algum alerta nos tradicionais sites de segurança descrevendo claramente as versões vulneráveis.

[]s
Luca

Luca 3 de nov. de 2007

Olá

alfrben:
Já foi corrigidos as falhas no Sun Java Runtime Environment (JRE) 1.6.0_X

conforme artigo do IDG Now

http://idgnow.uol.com.br/seguranca/2007/10/04/idgnoticia.2007-10-04.[telefone removido]/

Errado, o X costuma significar TODAS as versões e esta mensagem do link citado refere-se a versões anteriores à última que já foi ojeto de comentários no GUJ e na minha opinião, o administrador de redes que não assina notícias de sites de segurança e não atualiza imediatamente é irresponsável.

[]s
Luca

dreamspeaker 4 de nov. de 2007

kissdemon:
…conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:
…
3. Mozilla Firefox 2.0.0.6
…

Ué, o Firefox é atualizado automaticamente, pq tá na lista?

benflodin 4 de nov. de 2007

Apartir de 1.5 Java tambem tem atualização automatica!

Eduardo_Bregaida 5 de nov. de 2007

dreamspeaker:
kissdemon:
…conter uma vulnerabilidade crítica descoberta desde junho de 2006 e que necessite ser atualizada manualmente (o que explica a ausência do IE).

Confira a lista completa:
…
3. Mozilla Firefox 2.0.0.6
…

Ué, o Firefox é atualizado automaticamente, pq tá na lista?

Pq nessa versão ta com pau =)
Porém já foi corrigido na versão nova =)

clodoaldoaleixo 5 de nov. de 2007

Exato, ta todo mundo criticando a lista, mas não estão olhando as versões de cada programa avaliado.

Se hoje está corrigido ótimo, mas nem sempre foi assim.

Pq as pessoas se doem tanto quando surge algo negativo em relação ao Java?..Pessoas, vão se tratar que isso vai além de trabalho.

kissdemon 5 de nov. de 2007

clodoaldoaleixo:
Exato, ta todo mundo criticando a lista, mas não estão olhando as versões de cada programa avaliado.

Se hoje está corrigido ótimo, mas nem sempre foi assim.

Pq as pessoas se doem tanto quando surge algo negativo em relação ao Java?..Pessoas, vão se tratar que isso vai além de trabalho.

Trabalhamos com Java e neste fórum, toda e qualquer notícia veiculada que tenha relação com Java, pode ser discutida pelo que sei. O que está sendo discutido aqui é a veracidade desta lista. Se for verdadeira, ótimo, porém merece ser discutida.
Agora, nós estamos aqui para uma conversa sadia, como vinha acontecendo. Se tem alguèm aqui que precisa se tratar, é você que não “troca o disco” e vem sempre com o mesmo papinho. Sempre agregando muito suas mensagens:

http://www.guj.com.br/posts/preList/72194/379413.java#379413
http://www.guj.com.br/posts/preList/70917/372442.java#372442
http://www.guj.com.br/posts/preList/69961/370079.java#370079
http://www.guj.com.br/posts/preList/70439/370074.java#370074
http://www.guj.com.br/posts/preList/70072/368496.java#368496
http://www.guj.com.br/posts/preList/70080/368495.java#368495

[]´s
Carlos

livextreme 5 de nov. de 2007

A lista não pode ser séria, uma vez que o firefox tem atualização automatica, e o java tbm já possui atualização automatica. Portanto eles não deveriam aparecer na lista se um dos critérios foi justamente necessitar de atualização manual.

Além de não ter divulgado quais foram os teste realizados para determinar a lista, qual foi a falha que definiu sua colocação.

Todos software possuem falhas, e dizer que um software sem atualização automatica é mais vunerável do que o software que necessita ser atualizado manualmente é um erro, pois muitas vezes a versão mais nova apesar de resolver alguns bugs, acaba gerando outros, as vezes mais perigosos do que a versão anterior. Cabe ao especialista definir se a atualização vale ou não a pena.

Ainda se levar em conta a atualização não esqueça que o IE, possui um longo periodo antes de qualquer autalização, ou seja mesmo sendo automatica a sua atualização o período de espera é tão longo que suas deficiencias ficam sendo conhecidas até mesmo por noob`s, que tem a sua disposição um número enorme de ferramentas criadas por crackers, para que possam se achar o maximo ao se aproveitar de uma falha de segurança tão antiga.

Também nao foi definido se a maquina de testes, possuia firewall, antivirus ou qualquer sistema de defesa.

Por estes motivos, infelizmente não posso dizer que esta seja um a lista justa ou correta. Até mesmo porque a empresa trabalha justamente na área de segurança digital tentando vender suas soluções para os softwares descritos na lista.

E um bom dia a todos.