Sikkerhetsselskapet Bit9 har kommet med en rapport over sårbarhetene som har blitt oppdaget i tolv utvalgte programvareprodukter i årets tre første kvartaler. De fem mest brukte nettleserne er blant programmene Bit9 har sett nærmere på. I tillegg har Bit9 tatt med WebKit, som benyttes av to av både Safari og Chrome, som en separat oppføring. De øvrige programmene, bortsett fra Microsoft Office, er programvare som ofte benyttes som nettleserplugins.
Bit9 mener at rapporten, som er tilgjengelig her, tjener som en advarsel til bedrifter om risikoen ved at ansatte laster ned ikke-autorisert programvare, samt at den bekrefter viktigheten med å holde seg oppdatert om programvareoppdateringer.
Bit9 har kun tatt utgangspunkt i antallet rapporterte sårbarheter med høy alvorlighetsgrad. Dette har gitt den følgende listen:
- Google Chrome (76)
- Apple Safari (60)
- Microsoft Office (57)
- Adobe Reader og Acrobat (54)
- Mozilla Firefox (51)
- Sun Java Development Kit (36)
- Adobe Shockwave Player (35)
- Microsoft Internet Explorer (32)
- RealNetworks RealPlayer (14)
- Apple WebKit (9)
- Adobe Flash Player (8)
- Apple QuickTime (6) og Opera (6)
Listen forteller ingenting om hvor lenge sårbarhetene eventuelt har vært offentlig kjent før en sikkerhetsfiks har blitt gjort tilgjengelig. Det tas heller ikke hensyn til om hvorvidt sårbarhetene faktisk har blitt utnyttet av ondsinnede.
Listen ser i utgangspunktet ille ut for Google Chrome, men de aller fleste av sårbarhetene har blitt kjent i detalj først etter at Google har rullet ut nye Chrome-oppdateringer. Dessuten betaler Google for oppdagelsen av alvorlige sårbarheter, noe kan ha bidratt til at flere leter etter og varsler selskapet om sårbarheter i Chrome enn i andre produkter.
I den andre enden listen finner man Apples QuickTime og Opera. QuickTime ble for et par år siden ansett for å være en særdeles stor sikkerhetsrisiko. Mye tyder nå på at Apple har fått langt bedre kontroll på sikkerheten.
Opera har lenge vært kjent for både å ha få sårbarheter og å være blant de raskeste til å fjerne rapporterte sårbarheter. Så en topplassering er derfor i tråd med tidligere meritter.
Listen forutsetter forøvrig at leverandørene forteller om alle sårbarheter som oppdages og fjernes i deres respektive produkter. Det er en kjent sak at ikke alle leverandører er like villige til å fortelle om alt. Microsoft er blant disse, mens det i praksis er umulig å hemmeligholde sikkerhetsfikser til programvare med åpen kildekode.
Harry Sverdlove, teknisk sjef i Bit9, sier i en pressemelding at rapporten forteller at de mest populære applikasjonene ofte har de sårbarhetene som kriminelle faktisk kan utnytte. Han mener dessuten at rapporten forteller IT-avdelinger i bedrifter at de må være årvåkne og proaktivt holde all programvare oppdatert.
Bit9 skriver i pressemeldingen at selv om programvareleverandørene i de fleste tilfeller har gitt ut sikkerhetsfikser som fjerner de identifiserte sårbarhetene, så er bedriftene fortsatt i risikosonen fordi det i mange bedrifter er sluttbrukeren som ofte er ansvarlig for å installere oppdateringene.
Sikkerhetsselskapet mener at bedriftens IT-avdeling må overvåke systemene for å sikre at sikkerhetsoppdateringene har blitt installert.
Dataene i undersøkelsen er hentet fra sårbarhetsdatabasen til USAs National Institute of Standards and Technology (NIST). Blant kriteriene for sårbarhetene som har blitt vurdert, er en alvorlighetsgrad mellom 7,0 og 10,0.
I rapporten presenterer Bit9 en tiltaksliste for bedrifter som ønsker å sikre seg bedre mot angrep som utnytter programvaresårbarheter.
Les også:
- [13.01.2011] Fjerner 16 sårbarheter i Chrome
- [14.12.2010] Enda en CSS-sårbarhet funnet i IE
- [07.05.2010] Microsoft hemmeligholder sikkerhetfikser
