Отчет об угрозах Internet, дважды в год публикуемый компанией Symantec, выявил, что уязвимость бразуеров IE, Firefox и Safari за последние шесть месяцев только увеличилась.
Браузеры являются лакомым куском для хакеров, как заявила в понедельник компания Symantec в своем полугодичном отчете об угрозах Интернета и опубликовала данные, подтверждающие возросшую за прошедшие шесть месяцев уязвимость браузеров IE, Firefox и Safari. Исходя из отчета о безопасности в сети Интернет компании Symantec, 7 из 10 новых уязвимостей, выявленных в период с января по июнь, оказались багами в веб-приложениях. Нельзя сказать, что это хорошие новости, особенно учитывая тот факт, что общее число обнаруженных за полгода уязвимостей достигло 2,249, а это 18% увеличение по сравнению с результатами за вторую половину 2005 года.
По мнению составителей отчета, такое увеличение частично обусловлено высокой популярностью веб-приложений и относительной простотой отыскания уязвимостей в веб-приложениях по сравнению с другими платформами.
Баги в браузерах считаются самыми важными из всех уязвимостей веб-приложений. Первая половина 2006 года принесла плохие новости пользователям, так заявил Винцент Вифер, главный директор отдела безопасности калифорнийской компании Cupertino. Увеличение уязвимости – это знак того, что хакеры нацелены на атаку домашних пользователей и владельцев малого бизнеса через веб-браузеры, так заявил Винцент Вифер.
Internet Explorer получил 30 новых уязвимостей, что на 52% больше по сравнению с прошлым периодом, когда было публично было объявлено только о 25 уязвимостях. Результат браузера Safari от компании Apple и того хуже – 100% увеличение по сравнению с 6 уязвимостями за вторую половину 2005 года.
Однако, пальма сомнительного первенства по багам принадлежит браузерам Firefox и Mozilla от разработчика Mozilla – обнаружено 47 уязвимости за первую половину 2006 года, а это 276% увеличение по сравнению с 17 обнаруженными в период с июля по декабрь 2005 года. Разработчики Mozilla выпустили четыре обновления к Firefox, чтобы “залатать” эти уязвимости.
Винцент Вифер отметил, что соотношение атак нацеленных на IE и браузеры Mozilla составляет более, чем 2:1. Львиная доля атак была направлена на браузер Internet Explorer, заявил Винцент Вифер. По заявлению Symantec, из всех атак, проведенных на браузеры, большая часть пришлась на Internet Explorer - 47% от всех атак. На долю браузеров Mozilla пришлось 20% от всех атак за шестимесячный период. И это неудивительно, учитывая количество пользователей Internet Expoler, отметил Винцент Вифер.
Некоторые атаки нацелены на уязвимости, которые имеются в более чем одном веб-браузере, так упоминается в отчете, они на втором месте по популярности. В июне, например, в браузерах IE и Firefox была отмечена одинаковая ошибка в JavaScript.
Винцент Вифер так же отметил, что браузеры с открытым исходным кодом имеют несомненное преимущество по сравнению с браузером Microsoft с точки зрения времени, необходимого для “залатывания”. Такие конкуренты Firefox как Internet Explorer, Safari и Opera были “залатаны” значительно быстрее в первой половине 2006 года, чем во второй половине 2005 года, однако всех их обошел Mozilla. Например, для Internet Explorer, интервал между появлением ошибки и выпуске патча, составил 9 дней, а у Mozilla всего 1 день. (У Safari это 5 ней, а у Opera 2 дня).
Эти новости должны порадовать нового начальника отдела безопасности компании Mozilla Снайдера. В интервью, взятом у Снайдера две недели назад, он приводил доводы в защиту того, что подсчет того, сколько дней пользователи находились под угрозой, т.е. были уязвимы, представляется более привлекательным критерием по сравнению с приблизительным подсчетом числа уязвимостей. Простой подсчет багов – недостаточно хорошее средство оценки безопасности приложения, заявил он в заключении.