Osterman Research ha publicado los resultados de una revisión del uso de componentes abiertos con vulnerabilidades sin parches en software personalizado propietario (COTS). El estudio examinó cinco categorías de aplicaciones: navegadores web, clientes de correo electrónico, programas para compartir archivos, mensajería instantánea y plataformas de reuniones en línea.
Los resultados fueron desastrosos: en todas las aplicaciones estudiadas se reveló el uso de código abierto con vulnerabilidades sin parchear, y en el 85% de las aplicaciones las vulnerabilidades eran críticas. La mayoría de los problemas se encontraron en aplicaciones de reuniones en línea y clientes de correo electrónico.
En términos de código abierto, el 30% de todos los componentes de código abierto descubiertos tenían al menos una vulnerabilidad conocida pero sin parchear. La mayoría de los problemas identificados (75.8%) estaban relacionados con el uso de versiones desactualizadas del motor Firefox. En segundo lugar está openssl (9.6%) y en tercer lugar libav (8.3%).
El informe no detalla el número de solicitudes examinadas ni qué productos fueron examinados. Sin embargo, en el texto se menciona que se identificaron problemas críticos en todas las solicitudes excepto en tres, es decir, las conclusiones se sacaron sobre la base de un análisis de 20 solicitudes, que no pueden considerarse una muestra representativa. Recordemos que en un estudio similar realizado en junio, se concluyó que el 79% de las bibliotecas de terceros integradas en el código nunca se actualizan y el código de biblioteca desactualizado causa problemas de seguridad.
Fuente: opennet.ru