Relatório da IBM também indica que a quantidade de erros em leitores de documentos e aplicativos de multimídia cresceu em 50%.
De acordo com relatório anual “X-Force Trend and Risk”, da IBM, o número de vulnerabilidades em software caiu no ano passado. Foram registrados 6.601 novas vulnerabilidades, o que representa uma quantidade 11% inferior que a encontrada em 2008. Por outro lado, o estudo informou que o número de erros em leitores de documentos, editores e aplicativos multimídia aumentou 50%. A companhia classificou essas vulnerabilidades como “clientes”, que também afetam navegadores e sistemas operacionais.
Das cinco falhas mais exploradas na web, três envolvem arquivos PDF. Cibercriminosos tiveram sucesso em encontrar brechas no software da Adobe e conduziram ataques por meio de spams e páginas maliciosas. As outras duas envolvem o Flash e um controle ActiveX, que permite a visualização de arquivos do Microsoft Office no Internet Explorer.
Segundo a companhia, os navegadores possuem a maior parte das vulnerabilidades de clientes. O Firefox teve o dobro de erros críticos que o Internet Explorar. Todas as falhas foram corrigidas até o final de 2009.
Mais da metade das vulnerabilidades de clientes críticas afetaram quatro fabricantes: Microsoft, Adobe, Mozilla e Apple. Enquanto, em média, a maioria dos fornecedores corrigiu 66% desses erros, a Apple consertou apenas 38%.
A IBM também analisou as taxas gerais de correção. A equipe disse que a Research in Motion, a comunidade GNU, a Cisco Systems, a Adobe e a HP tiveram bom desempenho. A Cisco deixou apenas 1% das vulnerabilidades críticas sem correção até o fim do ano, enquanto as outras empresas corrigiram todos os erros.
As empresas com a maior porcentagem de falhas sem correção foram a comunidade Linux, com 53%, Oracle com 38%, Novell com 31% e IBM com 27%.
O relatório também observou vulnerabilidades em aplicativos da web, uma condição perigosa para sites que podem resultar em perda de dados e outros danos. Cerca de 67% dos problemas com aplicativos da web não foram corrigidos. Os cross-site scripting ultrapassaram a injeção de SQL como principal falha na web.
Cross-site scripting é um ataque no qual um script tem permissão para rodar onde não deve, recurso que pode ser usado para roubar informações. Injeção de SQL ocorre quando os comandos de entrada são validados e executados em um banco de dados, que também pode revelar dados.
O número de ataques de injeção SQL em 2008 foi de cerca de cinco mil por dia. Em 2009, a IBM observou mais de um milhão de ataques por dia, com os atacantes utilizadas ferramentas automatizadas para descobrir sites fracos Muitas vezes, os hackers tentam inserir HTML em uma página via injeção de SQL que faz com que usuários sejam redirecionados para outro site.

