Internet Explorer kommer lite heldig ut i en rapport om antall sårbarheter og angrep som har blitt funnet i mye utbredt klientprogramvare til nå i 2014. I flere år har det blitt funnet langt færre sårbarheter i IE enn i de viktigste konkurrentene, men dette har nå snudd. (Bilde: Microsoft)

Rekordmange sårbarheter i IE

Negativ trend for Microsofts nettleser.

Microsofts nettleser, Internet Explorer, har lenge vært et mer attraktivt mål i IT-angrep enn konkurrerende nettlesere. Dette til tross for at det gjerne har blitt oppdaget færre sårbarheter i Internet Explorer (IE) enn i flere av andre nettleserne i samme tidsperiode. Opera er blant unntakene.

Det kan være flere årsaker til dette. Blant annet er mange av sårbarhetene som Microsoft må fjerne fra IE, av typen nulldagssårbarheter. De utnyttes altså i angrep allerede før Microsoft får vite om dem og ofte mange dager før sikkerhetsfikser foreligger. Det hører til sjeldenhetene at dette skjer med nettleserne fra andre leverandører.

Sikkerhetsselskapet Bromium har gjort en analyse av sårbarhetene i de tre største nettleserne for Windows og sammenlignet tallene med tall for en håndfull andre produkter som også har vært kjent for å ha sårbarheter som utnyttes i angrep.

Stemmer tallene, er de lite oppløftende for Microsoft og IE-brukerne. Ifølge Bromium er Internet Explorer det produktet som både fikk flest sikkerhetsfikser og som ble mest utnyttet i angrep i første halvdel av 2014 – langt mer enn både Firefox, Chrome, Java, Microsoft Office og Adobe Reader og Flash Player.

– Sluttbrukere forblir en bekymring for dem som jobber med informasjonssikkerhet fordi de er de mest utsatt for og mest mottakelige for angrep, sier Rahul Kashyap, ledende sikkerhetsarkitekt i Bromium, i en pressemelding.

– Nettlesere har alltid vært en favorittvei for angrep, men vi ser nå at hackere ikke bare blir flinkere på å angripe Internet Explorer, de gjør det også hyppigere.

Diagrammet nedenfor viser at antallet kjente sårbarheter som ble funnet i IE i første halvdel av 2014 – 133 sårbarheter – allerede overstiger det totale antallet som ble fjernet fra nettleseren i hele 2013 – 130 sårbarheter. Tallene skal være hentet fra U.S. National Vulnerability Database (NVD) og skal være de høyeste på mer enn et tiår.

Antallet sårbarheter funnet i utbredt klientprogramvare i henholdsvis 2013 og første halvdel av 2014.
Antallet sårbarheter funnet i utbredt klientprogramvare i henholdsvis 2013 og første halvdel av 2014. Bilde: Bromium

Dette er ikke nødvendigvis negativt. Det er bedre at sårbarheter oppdages og fjernes fra programvare før den kan utnyttes, enn at de forblir en ukjent sikkerhetsrisiko som oppdages i det stille av ondsinnede. Økninger i antallet sårbarheter som blir funnet, kan for eksempel skyldes at man har tatt i bruk nye metoder for å finne sårbarhetene. En økning kan også skyldes en større utrulling av ny kode enn det som har vært vanlig tidligere.

Ny kode, som gir produktet ny funksjonalitet, vil nødvendigvis ikke være like godt testet som kode som har blitt «hamret løs på» både internt og ekstern i flere år.

En siste årsak til at det blir funnet flere sårbarheter i IE enn i nettlesere, er det faktum at også eldre IE-utgaver enn versjon 11 regnes med. Det er få som bruker flere år gamle utgaver av Chrome eller Firefox – som ikke lenger støttes, men Microsoft støtter fortsatt så gamle utgaver som IE7, selv om denne snart er åtte år gammel.

Sårbarheter

Diagrammet til Bromium viser dog en betydelig nedgang i antallet sårbarheter som har blitt oppdaget i de andre produktene i første halvdel av 2014. Mens det for eksempel ble oppdaget (og fjernet) nesten 194 sårbarhet fra Chrome i fjor, var antallet bare 52 i første halvdel av 2014. Oracle Java viser en tilsvarende trend – 193 sårbarheter i fjor og «bare» 54 i 2014s seks første måneder.

Angrepskode

En svakhet i rapporten til Bromium er at det stadig nevnes nulldagssårbarheter, men at det ikke gis konkrete tall for hvor utbredt dette er i de ulike produktene. Det oppgis bare er Internet Explorer er blant de mest angrepne produktene, men også at det ikke har blitt meldt om noen nulldags-angrep mot Java i første halvdel av 2014. Tidligere var slike angrep mot Java et kjempeproblem.

I stedet for en oversikt over antallet nulldagssårbarheter som har rammet hvert av produktene, tilbyr Bromium en oversikt over antallet offentlige angrepskoder som har blitt inkludert i Exploit Database i løpet årets seks første måneder.

Mengden av offentlig angrepskode utgitt av Exploid Database til mye brukt klientprogramvare i henholdsvis 2013 og første halvdel av 2014.
Mengden av offentlig angrepskode utgitt av Exploid Database til mye brukt klientprogramvare i henholdsvis 2013 og første halvdel av 2014. Bilde: Bromium

Bortsett fra for Flash Player, tyder tallene på en nedgang for samtlige produkter. Det skal ikke ha blitt lagt til angrepskode i Exploit Database for sårbarheter Chrome, Firefox og Java i år, men det skal være angrepskode til tre Internet Explorer-sårbarheter. Dersom denne trenden fortsetter, er dette likevel bare halvparten av mengden av IE-angrepskoder som ble lagt til i fjor.

Hyppigere

I rapporten til Bromium fortelles det også at Microsoft med IE10 og IE11 har vært nødt til å komme med sikkerhetsfikser til disse versjonene bare noen få dager etter at de ble lansert. For IE7 til IE9 skjedde dette først etter 80-90 dager. Bromium antyder i et blogginnlegg at dette kan skyldes at Microsoft siden IE9 har gitt ut nyte versjoner av Internet Explorer hvert år, altså betydelig hyppigere enn tidligere.

I rapporten diskuteres også hvilke metoder som ofte benyttes i forbindelse nulldags-angrep.

Til toppen