Secunia heeft alle geopenbaarde beveiligingsgaten van het afgelopen jaar in Firefox en Internet Explorer (IE) geteld. Daarbij heeft de securityleverancier ook gekeken naar de snelheid waarmee er patches zijn verschenen voor kritieke gaten. De resultaten van de vergelijking zijn gepubliceerd in het jaarrapport van Secunia].
Het open source Firefox heeft volgens die telling in 2008 een forse 115 gaten, terwijl Microsofts webbrowser IE er maar 31 heeft. Concurrenten Opera en Safari zitten op respectievelijk 30 en 32. Het gaat hier wel om gaten die openbaar zijn gemaakt, en daarbij erkent door de betreffende leveranciers van de browser.
Opinie Jeff Jones
Securitydirecteur Jeff Jones van Microsoft heeft dit al aangekaart in enkele omstreden artikelen, die ook op Webwereld zijn verschenen. Die topman van de Trustworthy Computing-tak van de Windows-producent stelt securityclaims van Mozilla aan de kaak. Zijn analyse heeft al tot veel discussie geleid.
Één van Jones’ kritiekpunten is hoe de Mozilla Stichting gaten telt en of die dus allemaal zijn geteld. Die kritiek heeft Microsoft al heel vaak gekregen. IE is namelijk geïntegreerd in Windows, wat de softwareproducent de ‘keuze’ geeft een gat te definiëren als zwakke plek in de browser of in het besturingssysteem.
Jones heeft echter een punt met de constatering dat Mozilla ook de gerepareerde bugs meetelt in bèta-versies van de Firefox-browser. Tegelijkertijd merkt hij ook op dat je alleen maar de fouten kunt tellen die een softwaremaker jou wil laten zien. Dit geldt voor zowel Mozilla als voor Microsoft, en ook browsermakers als Opera, Apple en Google. Secunia heeft voor zijn telling inderdaad de gepubliceerde gaten geteld.
Sneller
Het open source-model lijkt hoe dan ook sneller te werken; volgens de metingen van Secunia kost het de Mozilla Foundation maar 43 dagen om een kritiek gat te dichten. Dat is het gemiddelde voor de drie ernstige incidenten van afgelopen jaar voor Firefox.
Microsoft doet langer over ‘zijn’ 0-day gaten, openstaande lekken waarvoor dus al malware is. Volgens Secunia heeft de Windows-leverancier maar liefst 100 dagen erover gedaan om met patches te komen voor de drie 0-day IE-gaten van vorig jaar. Daarnaast betreffen die drie veel ernstigere gaten dan die in Firefox, aldus Secunia.
Overigens is het 2008-rapprt van dat beveiligingsbedrijf eind vorige maand al gepubliceerd. Deze week zijn er echter enkele belangrijke patches voor Firefox 3 verschenen. Het merendeel van de daarmee gedichte gaten is volgens de Mozilla Foundation zelf van kritieke aard.
Bron: Webwereld
© copyright 2011 IDG Nederland, Computer!Totaal.