Falhas em softwares caem em 2009, mas aplicativos são ameaça

Arquivado em: Arquivo-CdB
Publicado quinta-feira, 25 de fevereiro de 2010 as 12:51, por: cdb

O número de vulnerabilidades de softwares caiu no geral em 2009, mas a quantidade de erros em leitores de documentos e aplicativos de multimídia cresceu em 50%, de acordo com o relatório anual de riscos e tendências da IBM. A pesquisa foi feita pelo grupo X-Force – da IBM – e coletou divulgações de vulnerabilidades e outros dados de ataques feitos na web. Em 2009, a equipe registrou 6,6 mil novas vulnerabilidades, quantidade 11% menor que a registrada em 2008.

Segundo o estudo, Brasil, EUA e Rússia representam o grupo de países de onde se originou a maioria dos ataques maliciosos, superando a Espanha, Itália e Coréia do Sul, que estavam no topo do relatório em 2008. No que se refere às brechas de segurança, a IBM disse que o número de vulnerabilidades informadas para leitores de documentos, editores e aplicativos de multimídia subiu 50%. A empresa classifica essas como vulnerabilidades como “clientes”, que também afetam navegadores e sistemas operacionais.

Das cinco falhas mais exploradas na web, três envolvem arquivos PDF.  Crackers tiveram muito sucesso procurando brechas nos documentos e conduziram ataques através de spams e sites maliciosos. “Existe definitivamente um grupo de caras maus que mira esse tipo de arquivo”, disse o gerente de pesquisas da X-Force, Tom Cross.

As outras duas falhas exploradas envolvem o Flash e um controle ActiveX que permite que usuários vejam arquivos do Microsoft Office no Internet Explorer, disse a IBM.

Navegadores possuem a maior parte das vulnerabilidades de clientes. O Firefox teve o dobro de falhas críticas que o Internet Explorer em 2009. Nenhum desses erros, no entanto, deixou de ser corrigido até o fim do ano. Mais da metade das vulnerabilidades de clientes críticas atingiu quatro fabricantes: Microsoft, Adobe, Mozilla e Apple. Enquanto, em média, a maioria dos fornecedores corrigiu 66% dessas falhas, a Apple se mostrou pior nesse ponto, corrigindo apenas 38%.

A IBM também observou as taxas gerais de correção. A X-Force disse que a Research in Motion, a comunidade GNU, a Cisco Systems, a Adobe e a HP tiveram desempenho excelente. A Cisco deixou apenas 1% das falhas críticas sem patchers até o fim do ano, enquanto as outras empresas corrigiram todos os erros.

As empresas com a maior porcentagem de vulnerabilidades sem correção foram a comunidade Linux, com 53%, a Oracle com 38%, a Novell com 31% e a IBM com 27%. Outras brechas observadas pela X-Force incluem aplicativos da web, uma condição perigosa para sites que pode resultar em perda de dados e outros danos.

E os números não são bons: cerca de 67% dos problemas com aplicativos de web não foram corrigidos até o fim de 2009. Os cross-site scripting superaram injeção de SQL como principal vulnerabilidade na web, disse a IBM.

Cross-site scripting é um ataque no qual um script ganha permissão para rodar onde não deve, recurso que pode ser usado para roubar informação. Injeção SQL ocorre quando comandos são validados e executados em um banco de dados, que pode revelar dados e ser usado para outros fins maliciosos.

O número de injeções de SQL visto pela IBM em 2008 foi de cerca de 5 mil por dia. Em 2009, ela observou cerca de um milhão de ataques por dia, com invasores usando ferramentas para descobrir sites fracos, segundo Cross. Muitas vezes hackers tentam inserir HTML em uma página via injeção de SQL que faz com que usuários sejam redirecionados para outro site.

Os crackers estão “tentando conseguir que links maliciosos sejam colocados em sites legítimos com audiência e que a audiência seja redirecionada para outro site”, disse Cross. A IBM também disse que viu um aumento massivo de links maliciosos em 2009.