Разработчики браузера с открытым кодом, Firefox, проекта Mozilla, в 6 раз
быстрее реагируют на сообщения об уязвимостях, чем авторы браузера Internet
Explorer из Microsoft, подсчитал технический специалист Брайан Кребс. В прошлом
году Mozilla выпускала заплатки в среднем через 21 день, в то время как у
Microsoft этот срок достигал 135 дней.
В 2005 году Кребс насчитал 38 дней, когда Internet Explorer оставался с
незакрытыми критическими уязвимостями, которые активно применяли хакеры. Еще 256
дней браузер можно было бы потенциально использовать для атак на
пользовательские компьютеры. Это дни, когда информация о способе эксплуатации
уязвимостей появлялась в Сети раньше, чем заплатка от разработчиков. Firefox был
подвержен потенциальной эксплуатации уязвимостей 17 дней в году, однако эти
уязвимости ни разу не были использованы в вирусах и троянских программах,
утверждает специалист. Насчитывалось относительно немного случаев, когда
исследователи безопасности раскрывали данные об уязвимостях Mozilla публично,
вместо того, чтобы отдать информацию разработчикам в частном порядке. Это
происходило всего пару раз. Mozilla тратила в среднем 16 дней на выпуск заплатки
к критическим уязвимостям, если информация была опубликована в открытых
источниках.
Исследователь безопасности Mozilla Дэн Ведиц сказал, что обнаружение и быстрое
исправление ошибок участниками сообщества открытого кода создает меньше риска.
Он отметил, что "бессовестные задержки с выпуском заплаток вызвали бы критику
общественности" и могли бы заставить исследователей раскрывать информацию
публично, не всегда без ущерба для пользователей. Ведиц вспомнил об аврале в
сентябре, когда информация об уязвимости попала в открытый доступ,
эксплуатировать её оказалось довольно легко, и разработчикам пришлось срочно
выпускать обновление.
