Firefox na 102... luki

Firefox jest aplikacją, w której w mijającym roku wykryto najwięcej luk w zabezpieczeniach - informuje firma Qualys. Wcale nie oznacza to, że korzystanie z przeglądarki jest obarczone ryzykiem - program Mozilli może pochwalić się po prostu największą liczbą zidentyfikowanych i zgłoszonych producentowi błędów.

Wg firmy Qualys w Firefoksie znaleziono w tym roku 102 luki w zabezpieczeniach, o 12 więcej niż w 2008 r. (dane pochodzą z bazy prowadzonej przez amerykański Narodowy Instytut Standardów i Technologii).

Wydaje się, że to dużo, jednak trzeba pamiętać o tym, że kod przeglądarki jest otwarty a wszelkie informacje o wykrywanych w nim dziurach są publikowane. Tymczasem producenci programów o zamkniętym kodzie, np. Microsoft czy Apple, publikują informacje tylko o tych lukach, które wykryte zostały przez osoby z zewnątrz. Dane o liczbie luk usuwanych przez korporacyjnych programistów rozwijających przeglądarki Internet Explorer czy Safari nie są ujawniane.

Na drugim miejscu pod względem liczby zgłoszonych dziur znalazło się zbiorczo oprogramowanie firmy . W aplikacjach spółki znaleziono 45 luk, czyli znacznie więcej niż w roku ubiegłym (14). Pod względem bezpieczeństwa produktów rok 2009 nie jest więc szczególnie udany dla Adobe. Tym bardziej, że - jak wykazuje firma antywirusowa F-Secure - luki w aplikacjach Adobe są częstszym celem ataków niż dziury w produktach Microsoftu.

Koncern z Redmond spadł zaś w tym roku na trzecie miejsce (41 zgłoszonych błędów w zabezpieczeniach, o 3 mniej niż w 2008 r.) listy firm, w których programach znaleziono najwięcej luk.

Wolfgang Kandek, szef Qualys ds. technologii, uważa wymienione liczby za obraz trendu w aktywności cyber-przestępców, polegającego na mniejszym zainteresowaniu tych ostatnich atakowaniem systemów operacyjnych. Większe "pole do popisu" dają za to poszczególne aplikacje, funkcjonujące w ramach systemu.

Jak interpretować dane o lukach?

Na wstępie artykułu wspomnieliśmy, że duża liczba znalezionych i zgłoszonych producentowi luk niekoniecznie oznacza, że używanie danego programu jest niebezpieczne. Bardzo dużo zależy od tego, czy w Sieci krążą już exploity wykorzystujące znalezione błędy oraz tempa, w jakim producent przygotowuje aktualizacje.

W tym kontekście ciekawie wygląda raport firmy Bit9 (dostawcy technologii "białych list" aplikacji). Spółka, również opierając się na danych NIST, sporządziła ranking programów, korzystanie z których jest najbardziej ryzykowne dla użytkowników. Na jego czele znalazł się... Firefox, potem czytnik PDF-ów oraz odtwarzacz Apple Quick Time. W zestawieniu pojawiły się również Flash Player, Safari, Shockwave, Acrobat, Opera i Real Player.

Jak łatwo zauważyć, na liście brak aplikacji np. Microsoftu czy Google. Jak tłumaczy Bit9, raport dotyczył aplikacji działających w systemie Windows, które nie są aktualizowane automatycznie, a produkty dwóch ostatnich spółek mogą być łatane w ten sposób. Spółka nie zauważyła najwyraźniej, że w przeglądarce Mozilli także dostępna jest opcja automatycznej instalacji znalezionych aktualizacji. Ponadto ranking nie uwzględnia czasu, jaki mija od wykrycia luki w programie do przygotowania przez producenta stosownej łaty.

W 2008 r. Bit9 również uznała Firefoksa za najbardziej wadliwą aplikację.

źródło: cnet.com