El número de vulnerabilidades de software registradas en la Base de Datos del Instituto Nacional de Estándares y Tecnología de Estados Unidos puede sorprender a más de un usuario, ya que encabeza el listado de los últimos veinte años un sistema como Debian Linux.
También puede sorprender la posición del propio kernel Linux, la de Ubuntu o la de Mac OS X. Y la baja posición relativa de Windows 10, aunque hay que aclarar que éste solo tiene cuatro años de vida, mientras que el resto de soluciones se han enfrentado a los 20 años del periodo analizado.
El Instituto define estas ‘vulnerabilidades técnicas’ como «aquella característica o configuración que puede ser explotada por un atacante para obtener acceso no autorizado o hacer un mal uso de una red y sus recursos». En este punto convendría matizar que el número de vulnerabilidades no es en sí una indicación directa de un software «más seguro» y para ello hay que tener en cuenta otros aspectos más importantes más allá del número de vulnerabilidades.
Como la calificación de su gravedad; el índice de explotabilidad y su método remoto o con acceso físico para realizar los ataques; cuánto se ha tardado en su detección, e, importante, en cuánto tiempo ha estado disponible el parche para solucionarla, un aspecto por el que precisamente, destaca el software de código abierto donde los parches suelen estar listos en breve espacio de tiempo.
La Base de Datos del Instituto también ofrece un listado del total de vulnerabilidades de software por proveedor y otro indicador (más objetivo e informativo) realizado según la calificación de gravedad CVSS desde 1 a 10 puntos, donde se incluyen desarrollos como Flash Player, Acrobat, IE, MS Office o los Windows, XP, Vista o 2000.
Fuente: https://www.muyseguridad.net/