El ingeniero de Google Tavis Ormandy descubrió hace unas semanas una serie de graves fallos en el antivirus Sophos. Tras comunicarlo a la compañía y observar que tardaron entre mes y medio y dos meses en corregir los errores, el propio ingeniero en un comunicado critica ese prolongado tiempo de respuesta, detalla los gravísimos fallos que contenía y desaconseja el uso de este antivirus.
En un completo análisis, el ingeniero detalla las diferentes vulnerabilidades que encontró en el código del antivirus debido a "pobres prácticas en el desarrollo y la programación" junto con la pobre respuesta que sus advertencias recibieron ya que incluso presentó exploits funcionales para esas vulnerabilidades.
Tavis Ormandy concluye su informe tajantemente advirtiendo que "Instalando Sophos Antivirus se expone a los sistemas a un riesgo considerable. Si Sophos no mejora urgentemente su postura en cuanto a seguridad, la instalación de sus productos supondrá un riesgo para las redes e infraestructuras."
Por parte de Sophos se ha reconocido y agradecido que el investigador no hubiera hecho públicas las vulnerabilidades, dando tiempo de esta manera a corregirlas. Por otra parte al parecer Sophos estimó inicialmente que cualquier parche tardaría en desarrollarse seis meses.. y aunque finalmente solventó las vulnerabilidades en dos meses, el tiempo se mire como se mire excesivo.
En palabras del ingeniero, Sophos aun y para las más simples vulnerabilidades, no es capaz de reaccionar lo suficientemente rápido como para solventarlas incluso cuando se le provee de un exploit funcional. En el caso que un atacante utilice Sophos Antivirus como via de entrada, se tardarían meses en detectarlo y en parchearlo.
Algunas de las vulnerabilidades corregidas por parte de Sophos son por ejemplo un grave fallo en el scanner on-access que permitía distribuir un gusano en toda la red automaticamente, otro no menos grave fallo en su Buffer Overflow Protection System (BOPS) que simplemente inutilizaba la tecnología anti-exploit de Address Space Layour Randomisation (ASLR) del sistema operativo....
No dejéis de leer el completo informe de Tavis Ormandy ya que no tiene desperdicio y en el caso que seais usuarios de Sophos Antivirus posiblemente decidais cambiar de proveedor.
