- Flest alvorlige sårbarheter i Firefox

Microsoft hevder at Firefox er mer utsatt for sårbarheter enn Internet Explorer. Men Mozilla fyrer tilbake.

Sikkerheten til nettlesere er essensiell. For mange er dette blitt det viktigste verktøyet på PC-en, samtidig som det for mange er det viktigste grensesnittet mot Internett. Derfor er nettlesere og sårbarheter i disse populære inngangsporter for IT-kriminelle.

Jeff Jones er direktør for sikkerhetsstrategi i Microsoft. Han har skrevet en rapport basert på en undersøkelse hvor han sammenligner antallet sårbarheter som har blitt fjernet fra nettleserne Internet Explorer og Mozilla Firefox fra dagen da Firefox ble lansert (10. november 2004) til i dag.

Jones har primært benyttet offentlig informasjon fra leverandørene selv, i tillegg til The National Vulnerability Database (NVD). Han har også spedd på med informasjon fra blant annet Secunia og e-postlisten Bugtraq.

I motsetning til inntrykket de fleste trolig har hatt, sier Jones at han kan dokumentere at Firefox har hatt flere sårbarheter enn IE de siste årene. Jones sammenligner tallene fra 2004 til i dag, tallene for Firefox 2.0 med IE 7.0, og flere andre kombinasjoner. Uten unntak kommer Internet Explorer best ut.

Jones oppgir at det til nå er blitt fjernet mellom 14 og 17 sårbarheter fra Internet Explorer 7, avhengig av om man snakker om Vista- eller XP-utgaven. Dette tilsvarer opptil 1,4 sårbarheter per måned. Samtidig hevder han at antallet sårbarheter fjernet fra Firefox 2.0 er 56 - 3,75 sårbarheter per måned. Pussig nok oppgir Mozilla på denne siden at antallet er 47, så det er litt uklart hvordan Jones har kommet fram til sitt tall. Men uansett har antallet sårbarheter i Firefox 2.0 vært mange.

I rapporten kritiserer Jones også Mozilla for å ha kort supporttid på eldre produkter. Mozilla utgir på generelt grunnlag sikkerhetsoppdateringer til eldre versjon i seks måneder etter at en ny stor oppgradering er blitt sluppet.

For de fleste er seks måneder mer enn nok til å bytte versjon, så lenge det ikke stilles nye krav til operativsystem eller maskinvare. Men Jones mener brukere av Linux-distribusjoner med langtidssupport, slik som Red Hat Enterprise Linux Desktop 5 og Ubuntu 6.06 LTS, fortsatt vil være basert på Firefox 1.5 i mange år framover. Dette skjer uten at Mozilla utgir sikkerhetsfikser til nettleseren. Siden Firefox er basert på åpen kildekode, kan Linux-distributørene selv lage egne sikkerhetsoppdateringer, men ifølge Jones har det kommet får slike oppdateringer.

Novell har på sin side, med SUSE Linux Enterprise Desktop 10, i stedet tatt skrittet og oppdatert til Firefox 2.x. Dette skal ha skjedd i juni i år.

Til slutt tar Jones med en oversikt over kjente, men fortsatt åpne sikkerhetshull i de nyeste versjonene av nettleserne - 24 i Firefox 2.0, 21 i IE 7. Disse tallene er mer usikre, siden de er mer vanskelig tilgjengelig å utarbeide.

Jones' rapport får på ingen måte stå uimottalt. Mike Schroepfer, visepresident for teknikk i Mozilla, skriver i et blogginnlegg at telling av sårbarheter er meningsløst og viser til denne vurderingen av nettlesersikkerheten, basert på informasjon fra Secunia. Samtidig sier han at det ikke er mulig for uavhengige å bekrefte at antallet fjernede sårbarheter er samsvarende med det Microsoft oppgir. Selskapet har nemlig stengt feildatabasen for Internet Explorer, en webside som ble lansert for halvannet år siden.

Window Snyder, sikkerhetssjef i Mozilla, går mye lenger i sine uttalelser. I dette blogginnlegget skriver hun at Microsoft på ingen måte offentliggjør informasjon om alle sårbarhetene selskapet fjerner. Snyder hevder at Microsoft kun publiserer informasjon om sårbarheter som er blitt rapportert eksternt og som er blitt fikset i sikkerhetsoppdateringer, noe hun hevder bare er en liten andel av det totale antallet sårbarheter som fikses.

Snyder skriver dessuten at de fleste sårbarhetene først fjernes i forbindelse med store oppdateringer og sikkerhetspakker. Dette fordi slike oppdateringer gir Microsoft bedre mulighet til å teste konsekvensene av sikkerhetsfiksene. Snyder medgir at dette er fornuftig for Microsoft, men at resultatet for kundene kan være at det vil ta lang tid før sårbarhetene blir fjernet, kanskje så mye som et år eller mer.

Window Snyder var fram til 2005 senior sikkerhetsstrateg i Microsoft og ansvarlig for sikkerheten i Service Pack 2 til Windows XP og Windows Server 2003. Hun har unektelig hatt gode muligheter til å sette seg inn i Microsofts sikkerhetsrutiner.

Denne saken vil nok ende opp med påstand mot påstand, men de mange sikkerhetseksperter vil hevde at det viktigste ikke er antallet sårbarheter som er blitt fjernet, men også alvorlighetsgraden til sårbarhetene, i hvilken grad sårbarhetene er blitt utnyttet og hvor lenge sikkerhetshullene har vært åpne.

Til toppen