I 50 prodotti più vulnerabili del 2015

[CUB3]

Immaginavo che Adobe con il suo FlashPlayer sarebbe arrivata sul podio ma non pensavo al terzo posto!!!

Riuscite ad indovinare quali applicazioni o sistemi operativi sono in prima e seconda posizione senza prima guardare il link qui sotto?

Provate a scrivere secondo voi chi c'è ai primi due posti e solo dopo guardate la classifica senza ovviamente svelare la soluzione!!

[Cris]

.... impossibile - che delusione!

[PippoDJ]

Perché? Cosa c'è di strano?
viewtopic.php?f=15&t=3064&p=30339#p30339

[Cris]

Ciao Pippo,
si mi ricordo quel post ....... e mi son fatta l'illusione che un iPhone non sottoposto a “jailbreak” fosse quasi "un porto sicuro".....
e questo rafforzato anche dall'idea "allo stato attuale gli AV per Android e iOS sono un bisogno indotto con pratiche commerciali poco corrette.
Un bisogno di cui non abbiamo bisogno" (Cit.)
Invece l'interpretazione corretta era: non ne abbiamo bisogno perchè, allo stato attuale, non sono di nessuna utilità ......

[PippoDJ]

mi son fatta l'illusione che un iPhone non sottoposto a “jailbreak” fosse quasi "un porto sicuro"

E quasi certamente lo è!

Le applicazioni di iOS si possono scaricare ed installare esclusivamente dall'App Store di Apple e, se sono riuscite ad arrivare fin lì, è perché sono state sottoposte a severi controlli di sicurezza, sia umani, sia automatici.
Inoltre, ogni singola app, ha pochissime (se non nessuna) possibilità di interagire con le altre app e con il filesystem (al di fuori della propria sandbox).

Questo spiega anche il motivo della presenza di tante "vulnerabilità": se all'entrata del tuo residence c'è un posto di blocco con guardie armate, potresti sottovalutare l'idea di mettere anche una porta blindata all'ingresso di ogni singola abitazione.

Quella classifica lascia il tempo che trova... come ho già detto nell'altra discussione, non è tanto importante “quante” siano le falle [vulnerabilities] riscontrate, ma quanto le stesse siano effettivamente sfruttabili [exploits] per fare danni nel mondo reale.

[CUB3]

Quella classifica lascia il tempo che trova... come ho già detto nell'altra discussione, non è tanto importante “quante” siano le falle [vulnerabilities] riscontrate, ma quanto le stesse siano effettivamente sfruttabili [exploits] per fare danni nel mondo reale.

Concordo pienamente! Quando ho pubblicato quella classifica, infatti, l'ho fatto un po' anche per "provocazione", perchè ritengo molto più interessante quest'altra classifica e in particolare la colonna del "peso medio" delle vulnerabilità, il cui punteggio, essendo una media fra il numero di vulnerabilità e la loro pericolosità, può essere molto più indicativo di quale sia un prodotto sicuro o meno. C'è comunque un dato molto importante che non viene preso in considerazione: il tempo trascorso dalla scoperta della vulnerabilità e il rilascio di una patch!

In questa seconda tabella il mio "amato" Flashplayer, con un punteggio di 9.50 è secondo solo a Air Sdk e Air Sdk & Compiler, primi a parimerito con 9.60!! Complimenti vivissimi ad Adobe!!

Per riprendere il tono del mio primo post ( ), nella seconda tabella riuscite per caso a vedere Android??

[Cris]

...Per riprendere il tono del mio primo post ( ), nella seconda tabella riuscite per caso a vedere Android??

.... beh forse non si ricordano delle vulnerabilità scoperte nella libreria Stagefright di Android:

"Oltre 950 milioni di dispositivi Android possono essere attaccati da remoto, a causa di sette vulnerabilità individuate dai ricercatori di Zimperium Mobile Security. I dettagli verranno divulgati nel corso della conferenza Black Hat di inizio agosto, ma l’azienda ha specificato che il problema riguarda il 95% dei device che eseguono il sistema operativo Google. Tra gli smartphone testati, solo per il Nexus 6 è stata rilasciata una patch che risolve alcune vulnerabilità."

.... ci sono stati più round ... ma da luglio mi sembra abbiano risolto ... forse in ottobre .... ?

[PippoDJ]

Quella classifica lascia il tempo che trova... come ho già detto nell'altra discussione, non è tanto importante “quante” siano le falle [vulnerabilities] riscontrate, ma quanto le stesse siano effettivamente sfruttabili [exploits] per fare danni nel mondo reale.

Concordo pienamente! Quando ho pubblicato quella classifica, infatti, l'ho fatto un po' anche per "provocazione" [...]

Beh... allora rispondo anch'io con un'altra "provocazione".
Ecco la "TOP 40" dei prodotti con più "exploits" ("vulnerabilità" che si sono poi davvero concretizzate in minacce reali) liberamente tratta dagli stessi dati forniti da CVE Details:

Codice: Seleziona tutto

Windows Vista           32
Linux Kernel            29
Windows Server 2008     27
Firefox                 23
Windows Server 2003     21
Internet Explorer       20
Windows 7               17
Safari                  16
Acrobat Reader          13
Chrome                  12
Acrobat                 12
Mac OS X                11
Wireshark               11
Windows 8                9
Office (Microsoft)       9
Windows Server 2012      9
Windows Rt               8
Thunderbird              7
iPhone OS                7
Open SSL                 5
Windows 8.1              5
Windows Rt 8.1           5
Flash Player             4
iTunes                   4
OpenSuSE                 3
MySQL                    3
Ubuntu Linux             2
IOS (Cisco)              2
Debian                   2
JRE                      2
JDK                      2
Apple TV                 1
Android                  1
Fedora                   1
AIR                      0
AIR SDK                  0
Acrobat DC               0
Acrobat Reader DC        0
Windows 10               0
Firefox ESR              0
AIR SDK & Compiler       0

...vista in questo modo, non sembra che i prodotti Adobe siano poi così spaventosi.

Per riprendere il tono del mio primo post ( ), nella seconda tabella riuscite per caso a vedere Android??

No e, in quanto tifoso del robottino, la cosa mi fa piacere. Però, per essere onesti, sarebbe meglio che quella classifica fosse in ordine di pericolosità media ["Weighted Average"] invece che in ordine di quantità di vulnerabilità riscontrate ["Number of Total Vulnerabilities"]: penso che tra i primi 50 classificati apparirebbero anche altri nomi.

[CUB3]

Mi sa che con voi non ce la faccio!!!
Avete per caso letto questo libro??