– Flest sårbarheter i Firefox

Mozillas nettleser oppnår en lite heldig førsteplass hos Secunia.

Secunia har kommet med en rapport med statistikk om alle sårbarhetene som har blitt oppdaget i programvare i første halvdel av 2010. Tallene er relativt oppløftende, siden de viser en trend for i år som antyder at et lavere antall sårbarheter vil bli oppdaget i år, enn det som er gjennomsnittet for de siste fem årene. Det ventes likevel at det blir oppdaget flere sårbarheter i år enn i 2009, hvor antallet var lavere enn på lenge. Men stadig flere av sårbarhetene oppdages i programvare som brukes av de fleste pc-brukere.

Secunia tar utgangpunkt i Common Vulnerabilities and Exposures (CVE) når selskapet teller sårbarheter. Dette er en felles sårbarhetsidentifikator som fungerer som en de factor bransjestandard.

I rapporter trekker Secunia fram blant annet hvilke enkeltprodukter og leverandører som kommer verst ut når det gjelder antallet offentlig kjente sårbarheter de siste 12 månedene.

Tabellen nedenfor viser at Mozillas nettleser, Firefox, kommer svært dårlig ut, mens e-postprogrammet Thunderbird, som er basert på mye av den samme koden, ligger på tiende plass. Tabellen inkluderer ikke programvare fra Microsoft, noe som ville ha skjøvet både Thunderbird og Apples iTunes ut av topp 10. I stedet har Secunia presentert sårbarhetstallene for Microsoft programvare i en egen tabell, som også er gjengitt nedenfor.

Siden tabellene kun omhandler Windows-programvare, går digi.no ut fra at sårbarheter som kun berører Mac- eller Linux-utgavene av den nevnte programvaren, er ikke er inkludert i tabellen. Men dette er ikke spesifikt oppgitt i rapporten.

Dessverre så er det ikke slik at alle programvareleverandører forteller om alle sårbarheter som de selv oppdager i sine egne produkter. Microsoft er blant disse. Hvor mange sårbarheter dette utgjør, vet bare leverandørene selv. Tabellene over tar nødvendigvis ikke hensyn til dette. Men det er sannsynlig at tabellene ville ha sett annerledes ut dersom leverandørene ikke holdt slik informasjon skjult.

Leverandører av programvare med åpen kildekode forteller derimot om alle sårbarheter som har blitt fjernet. Noe annet ville ha vært tåpelig, da alle endringer som gjøres i kildekode er tilgjengelige for alle som er interessert.

Programvaren fra Mozilla og nettleserne fra Apple og Google, er helt eller delvis basert på åpen kildekode. Mozilla og Google tilbyr til og med belønning til alle som finner alvorlige sårbarheter i disse produktene, noe som ikke minst kan påvirke hvilke produkter eksterne sikkerhetseksperter velger å fokusere på.

En annen svakhet ved tabellene i rapporten, er at de ikke sier noe om hvor alvorlige sårbarhetene i de ulike produktene har vært. Dermed sammenlignes sårbarheter som knapt kan utnyttes av brukere med fysisk tilgang til maskinen med sårbarheter som i stor stil utnyttes aktiv av kriminelle på tvers av Internett.

Selv om det har blitt funnet mange alvorlige sårbarheter i Firefox de siste seks månedene, har ingen av dem blitt utnyttet før Mozilla har rukket å fjerne dem. I de fleste tilfellene har sårbarhetene først blitt kjent i det sikkerhetsoppdateringen har blitt utgitt.

Microsoft Internet Explorer har derimot vært rammet av to minst sårbarheter som ble utnyttet aktivt før sikkerhetsfikser ble gjort tilgjengelige.

Diagrammet nedenfor viser at Apple er selskapet som så langt i år har hatt flest sårbarheter i sin programvare. Deretter følger Oracle, etterfulgt av Microsoft. Diagrammet har de samme svakheter som tabellene over, men i tillegg skilles det ikke mellom selskapet som leverer mange produkter og selskaper som kun leverer noen få.

Programvareleverandørene med flest kjente sårbarheter mellom 2005 og 2010. Tallene for Oracle inkluderer også Sun og BEA.
Programvareleverandørene med flest kjente sårbarheter mellom 2005 og 2010. Tallene for Oracle inkluderer også Sun og BEA. Bilde: Secunia

I rapporten skriver Secunia at de ti leverandørene som er oppgitt i diagrammet over, står for i gjennomsnitt 38 prosent av sårbarhetene som oppdages hvert år. I løpet av de to årene fra 2007 til 2009 har antallet sårbarheter som påvirker en typisk pc-bruker økt fra 220 til 420. Basert på tallene så langt i år, mener Secunia at det tilsvarende tallet for 2010 vil være 760 sårbarheter. En stor og økende andel av disse sårbarhetene har blitt oppdaget i programvare fra andre leverandører enn Microsoft.

Til toppen