Software inseguro para Windows

Software inseguro para Windows

Según un estudio de la empresa de seguridad Secunia, muchas de las aplicaciones más populares para Windows no adotan las medidas de seguridad implementadas en Windows y abren agujeros de seguridad en el sistema. A pesar de las recomendaciones de Microsoft, programas tan usados como Java, Adobe Reader o Firefox no implementan funciones como el DEP (prevención de ejecución en zona de datos) o el ASLR (organizador aleatorio del espacio de direccionamiento) o lo hacen solo parcialmente.

 

La seguridad de un sistema operativo no solamente depende de las medidas que tome el propio sistema para protegerse de las amenazas, sino también de que las aplicaciones diseñadas para dicho sistema “jueguen limpio” y utilicen las herramientas puestas a disposición por el sistema para evitar problemas de seguridad. Esto facilita el que los desarrolladores de malware aprovechen la debilidad de estas aplicaciones para atacar el sistema.

 

 

En esta línea la empresa de seguridad Secunia ha publicado un informe recientemente en el que se muestra cómo muchas de las aplicaciones más populares de Windows no hacen uso de importantes herramientas de seguridad como el DEP o el ASLR. Son funciones que Microsoft ha implementado hace ya tiempo tanto en Windows Vista como en Windows 7 pero que aún no han sido adoptadas por algunas de estas aplicaciones o no de forma completa.

 

Microsoft recomienda el uso de ambas técnicas en el protocolo de seguridad en el desarrollo de aplicaciones, tal y como hace para todos sus productos que funcionan sobre Windows de un tiempo a esta parte. El DEP o Data Execution Prevention impide que cualquier código sea ejecutado en la zona de memoria reservada a los datos mientras que el ASLR o Adress Space Layout Randomization cambia el espacio de direccionamiento de forma aleatoria. Todo para dificultar la ejecución sin permiso de malware.

 

 

Según los expertos ambas herramientas son muy eficaces contra el malware. En el informe de Secunia se muestra cómo aplicaciones tan utilizadas como Java, Runtime, Apple Quicktime, VLC, OpenOffice.org, Picasa, WinAmp o RealPlayer no utilizan ni DEP ni ASLR para protegerse de ataques. Por otro lado Firefox, Opera, Safari, Adobe Reader o Apple iTunes tienen soporte DEP pero no implementan ASLR de forma total.

 

 

Los expertos de Secunia explican que un solo módulo del programa que no implemente ASLR es suficiente para ejecutar código malicioso. Cabe destacar cómo algunas de las empresas sí que se han ido poniendo al día en este sentido. El mejor ejemplo es Google Chrome, que según el estudio no implementaba ni DEP ni ASLR en mayo de 2008 mientras que en los datos recogidos en junio de 2010 el navegador implementa de forma completa ambas herramientas.

 

En Secunia señalan que a pesar de que estas tecnologías están disponibles en los sistemas Windows desde hace tres años en todo este tiempo estas aplicaciones no se han adaptado para mejorar su seguiridad con ellas. Así es cómo, según Secunia, estas aplicaciones se han convertido en especialmente populares para los diseñadores de malware.

 

  • Share This