Roma – Nel suo ultimo Internet Security Threat Report Symantec ha rivisto la modalità con cui conteggia le vulnerabilità di Internet Explorer e di Firefox, modalità che lo scorso anno l’avevano portata ad affermare che il browser di Microsoft è più sicuro della controparte open source .
Oliver Friedrichs, senior manager del Security Response Group di Symantec, ha ammesso che nel suo precedente rapporto semestrale le vulnerabilità critiche di IE e Firefox era state comparate in modo incorretto . In precedenza, infatti, la celebre società di sicurezza contava solo i bug confermati dai vendor dei due browser: il risultato, riferito alla seconda metà del 2005, era che il numero di falle convalidate dal big di Redmond era inferiore a quello delle falle convalidate da Mozilla Foundation .
Secondo i sostenitori del browser open source, il calcolo generava risultati tra loro non confrontabili : il modello di sviluppo open source, definito dai suoi estimatori “del tutto trasparente”, porterebbe infatti alla scoperta, verifica e correzione di un maggior numero di problemi in tempi più brevi. In altre parole, la stima di Symantec premierebbe il vendor che impiega di più a correggere i problemi anziché quello che vi impiega di meno.
Riconoscendo la validità di queste critiche, nel suo nuovo rapporto Symantec ha fornito due differenti metri di comparazione : quello basato sulle sole vulnerabilità confermate dal produttore e quello basato sulla somma delle vulnerabilità confermate e non confermate: tra queste ultime compaiono tutte quelle che sono state rese pubbliche da hacker ed esperti di sicurezza ma che non sono state necessariamente ufficializzate. Stando a quest’ultimo computo, negli ultimi sei mesi dello scorso anno IE avrebbe totalizzato 24 falle (di cui 12 confermate da Microsoft) contro le 17 di Firefox (di cui 13 confermate da Mozilla Foundation). Nella prima metà del 2005 il rapporto tra le falle confermate di IE e le falle confermate di Firefox era di 14 contro 27.
Nel proprio rapporto Symantech ha anche pubblicato alcune stime sul tempo che mediamente trascorre prima che un computer non patchato, una volta collegato ad Internet, venga compromesso da malware o cracker. La società afferma che un sistema con Windows XP Professional è rimasto inviolato solo per un’ora, Windows 2000 per un’ora e 17 minuti e Windows Server 2003 per un tempo lievemente più lungo. Al contrario, i sistemi operativi Red Hat Enterprise Linux 3 e SuSE Linux 9 Desktop non sono mai stati compromessi durante il mese e mezzo di test. Per ottenere lo stesso risultato con Windows, gli esperti di Symantec hanno dovuto applicare tutte le patch di sicurezza rilasciate fino a quel momento da Microsoft.