Firefox najgorszą przeglądarką?
Secunia opublikowała raport dotyczący liczby znalezionych luk w roku 2008. Jedną zaskakujących informacji, które możemy w nim przeczytać jest fakt, iż najbardziej dziurawą przeglądarką był... Firefox.
W opensource'owym browserze znaleziono 115 błędów. Na drugim miejscu uplasowało się Safari z 32 dziurami, następnie Internet Explorer (31 luk) oraz Opera (30 błędów).
W dokumencie Secunii znajdziemy też informację na temat 9 dziur (6 z IE oraz 3 z Firefoksa), które zostały ogłoszone publicznie przez ich odkrywcę jeszcze zanim powiadomił on o nich producenta przeglądarki.
Zestawienie liczby dni, w których stwarzały zagrożenie, nie wypada korzystnie dla przeglądarki Microsoftu. Mozilla załatała wszystkie takie luki, a średni czas ich poprawienia to 44 dni. Microsoft poprawił trzy z 6 dziur, ale na poprawki trzeba było czekać średnio 99 dni.
Niezbyt korzystnie wypada też zestawienie bezpieczeństwa wtyczek i dodatków do przeglądarek. Najbardziej niebezpiecznym dodatkiem są najpopularniejsze pluginy, czyli kontrolki ActiveX znajdowane w ponad 40 różnych produktach. W ciągu 2008 roku znaleziono w nich 366 dziur.
Secunia przypuszcza, że szybki wzrost liczby luk w ActiveX wiąże się z jednej strony z ich popularnością, co przyciąga cyberprzestępców, a z drugiej - z coraz częstszym używaniem automatycznych narzędzi skanujących, wyszukujących luki. Kolejne 54 dziury zostały znalezione w Javie, 30 w QuickTime'ie, a 19 we Flashu. Tylko 1 lukę zauważono w dodatkach specyficznych dla Firefoksa, a widgety Opery nie ujawniły żadnej dziury.
Bardzo interesujące jest również zestawienie liczby porad, które opublikowała Secunia w latach 2003-2008. W roku 2003 Secunia wydała 55 porad dotyczących "ekstremalnie krytycznych" luk, a w roku 2008 było ich 11. Sytuacja tylko pozornie się poprawiła, gdyż w roku 2007 były zaledwie 2 porady.
Szybko rośnie też liczba dziur określonych jako "wysoce krytyczne". W 2003 było ich 438, a w 2008 już 1019. Podobnie rzecz się ma z dziurami "umiarkowanie krytycznymi", których liczba zwiększyła się z 893 do 2275.
Wśród wszystkich dziur najwięcej, bo 1814 (w roku 2003 było ich 1020) pozwalało na uzyskanie dostępu do systemu operacyjnego. Drugie pod względem liczby były luki umożliwiające przeprowadzenie ataku DoS (1538 w 2008 i 817 w 2003), zwiększenie uprawnień (1040 obecnie i 471 w 2003) czy manipulowanie danymi (1162 wobec 111 w 2003). Znacząco spadła za to liczba dziur, w wyniku których atakujący może uzyskać dostęp do ważnych informacji. Jeszcze w 2003 Secunia informowała o 482 takich dziurach, a w 2008 o 13.
Mariusz Błoński
