Mozilla es el fabricante que menos tarda en resolver vulnerabilidades.

Estudio: Mozilla es el fabricante que menos tarda en resolver vulnerabilidades.
RealNetworks, el que más. La media global son 6 meses
-------------------------------------------------------------------------------

Hemos realizado un estudio sobre once fabricantes para conocer cuánto
tardan en corregir sus vulnerabilidades reportadas de forma privada.
Sobre 1045 fallos, la conclusión es que la media global es de 177 días,
mientras que RealNetworks tarda 321 días y Mozilla sólo 74.

El tiempo que un fabricante tarda en hacer pública una solución para una
vulnerabilidad es una de las métricas más importantes para conocer cómo
maneja la seguridad. Suele existir cierta controversia en este aspecto.
Se achaca a los fabricantes que tardan demasiado en disponer de una
solución efectiva que ofrecer a sus clientes o usuarios. Mucho más
cuando la vulnerabilidad es conocida y por tanto sus clientes "perciben"
el peligro de utilizar ese software. En Hispasec hemos realizado un
estudio sobre 1.045 vulnerabilidades de los fabricantes: Novell, HP,
Microsoft, Apple, IBM, CA, Symantec, Oracle, Adobe, Mozilla y
RealNetworks desde 2005.

Este es una actualización del estudio realizado en 2009. Si hace dos
años se analizaron 449 vulnerabilidades desde 2005 hasta septiembre de
2009, ahora se amplía el cálculo desde 2005 hasta final de julio de 2011
con 1.045. Además, se añaden dos fabricantes a la comparativa:
RealNetworks y Mozilla que curiosamente son el que peor y mejor media
tienen respectivamente.
http://blog.hispasec.com/laboratorio/images/noticias/mediavulns.png

Algunas de las conclusiones del nuevo estudio son que la media de los
grandes fabricantes es de seis meses para solucionar una vulnerabilidad,
independientemente de su gravedad. Encontramos ejemplos en los que una
vulnerabilidad es solucionada dos años después de ser descubierta, y
otros en los que se tardan apenas unos días. La mayoría de las
vulnerabilidades se resuelven antes de 6 meses (un 67,53%), pero aun
así en cerca del 10% de los casos se necesita más de un año para
arreglarlas.

Los resultados obtenidos se podrían clasificar en dos grandes grupos:

* RealNetworks, Oracle, IBM, HP y Microsoft que pasan de la media
global.

* Novell, Apple, CA, Symantec, Adobe y Mozilla que bajan de la media
global, destacando Mozilla como el que disfruta de la media más baja.

El 93% de las vulnerabilidades de Mozilla y el 83,60% de las de Novell,
se corrigen antes de los 6 meses, mientras que RealNetworks y Microsoft
lo consiguen solo en el 33,3 y 52% de los casos respectivamente.

Todos los datos y el informe completo, está disponibles desde:

http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades_v2.pdf


El anterior informe:
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf