Det danske sikkerhetsselskapet Secunia har publisert en rapport som oppsummerer registrerte sårbarheter i programvare i 2006 til nå. Statistikken er lite hyggelig lesestoff for Microsoft, rent bortsett fra at dominansen til selskapets produkter også fører til større fokus på nettopp disse produktene.
Diagrammet nedenfor viser programvaren med det største antallet sikkerhetsrapporter som omtaler sårbarheter som tillater systemtilgang. Dette innebærer at angripere i praksis kan få kontroll over det sårbare systemet.
Microsoft Office XP og Office 2000 «leder» med 16 sikkerhetsrapporter hver, fulgt av Office 2003 med 15 sikkerhetsrapporter og Internet Explorer 6.x og 5.01 med henholdsvis 12 og 11.
I diagrammet er det kun to produkter som ikke er fra Microsoft, Mozillas Firefox 1.x og Novell Open Enterprise Server.
Bortsett fra Novells serverprodukt, er alle applikasjonene på listen klientbaserte. Dette er ifølge Secunia den foretrukne arenaen for sosial hacking, hvor brukerne av de sårbare systemene gjerne blir lokket til å sette i gang angrepskoden.
Microsoft Office ligger også dårligst an i oversikten over antallet null-dagers angrep. Ifølge Secunia er dette et uttrykk for aktiv utnyttelse av sårbarheter før de er blitt offentlig kjent.
Ti slike tilfeller knyttet til Microsofts produkter dukket opp i 2006. Seks av disse var knyttet til Office-produktene, hvorav fire til Word. I de fleste tilfellene ble disse sårbarhetene utnyttet til å installere trojanere som i sin tur laster kan laste ned alle typer filer fra nettet. Dette kan være alt fra programmer som sender spammeldinger til programmer som videreformidler alt det brukeren skriver på tastaturet, inkludert passord og kredittkortnummer.
Av de ti nevnte tilfellene, er de to nyeste fortsatt ikke blitt fikset av Microsoft. Diagrammet nedenfor viser hvor lang tid Microsoft har brukt for å fikse de øvrige sårbarhetene. Det dreier seg om mellom 6 og 41 dager.
Secunia skriver at Microsoft i flere av disse tilfellene har påpekt at angrepene har vært begrensede, noe som kan ha påvirket programvareselskapets prioriteringer rundt det å få publisert fiksene.
Sikkerhetsselskapet påpeker at det ofte er nettopp disse begrensede og spesielt tilpassede angrepene som utgjør de største problemene, blant annet fordi de med større sannsynlighet vil lykkes, men også fordi det er vanskelig for sikkerhetsselskapene å skaffe tilstrekkelig informasjon om angrepene til å kunne identifisere angrepskodene. Dermed vil brukerne fortsette å være sårbare, selv med oppdatert sikkerhetsprogramvare.
I de tilfellene hvor den ondsinnede koden spres i større omfang, er det derimot langt enklere for sikkerhetsselskapene å tilby løsninger som kan oppdage og forhindre et angrep.
Det er liten tvil om at antallet sårbarheter som oppdages i programvare, fortsatt øker fra år til år. Økningen er likevel ikke like stor som i fjor. Det er sårbarhetene i Secunia-kategorien "higly critical" som øker mest, med en oppgang på nesten 40 prosent fra i fjor.
