I alle nettlesere oppdages det jevnlig sårbarheter. Mange av sårbarhetene blir utnyttet av kriminelle. Derfor er det viktig at nettleserleverandørene kommer med sikkerhetsfikser så raskt det lar seg gjøre, slik at brukerne enklere kan beskytte seg mot slike angrep.
Symantec har i selskapets Internet Security Threat Report volume XV samlet statistikk over sårbarhetene som i 2009 ble funnet i de fem vanligste nettleserne.
Opera
Rapporten viser at Operas nettleser hadde færreste dokumenterte sårbarheter i fjor, men også at selskapet var raskest til å fjerne disse. Ingen sårbarhet var offentlig kjent i mer enn tre dager før en sikkerhetsfiks var på plass, mens gjennomsnittstiden var på under et døgn. I praksis betyr dette at sikkerhetsfikser har blitt gitt ut før detaljene om de relaterte sårbarhetene har blitt gjort offentlig kjent. I alt ble 16 sårbarheter rettet i Opera i fjor, mens det var 33 i 2008.
Safari
I motsatt ende finner vi Apples Safari. I gjennomsnitt brukte Apple 13 dager på å fjerne de 78 sårbarhetene som ble oppdaget i nettleseren i 2009. I det verste tilfellet brukte Apple 145 dager på å fjerne en eller flere av de kjente sårbarhetene. I 2008 ble det funnet 31 sårbarheter i Safari.
Firefox
Firefox er nettleseren hvor det ble funnet flest sårbarheter i fjor, hele 151. Ifølge Symantec skyldes dette blant annet den aggressive gjennomgangen som stadig blir gjort av sikkerhets- og utviklerfellesskapene, i tillegg til Mozillas belønningsordning som gir kompensasjon til dem som avslører sårbarheter i stiftelsens produkter på en ansvarlig måte.
Til tross for den store mengden sårbarheter, gikk det i gjennomsnitt under et døgn fra detaljer om sårbarheten ble offentlig kjent til at en sikkerhetsfiks var tilgjengelig. Men ikke alt er like rosenrødt, for i det verste tilfellet brukte Mozilla 75 dager på å fjerne en sårbarhet i fjor. I 2008 ble det fjernet 83 sårbarheter fra Firefox.
Internet Explorer
Også Microsoft opplevde i fjor færre tilfeller av nulldagssårbarheter i selskapets nettleser, slik at eksponeringstiden for sårbarheter i gjennomsnitt var lavere enn et døgn, men i det verste tilfellet brukte Microsoft 18 dager på å utgi en sikkhetsfiks til en offentlig kjent sårbarhet, som faktisk også ble aktivt utnyttet i perioden. I alt ble det fjernet 28 dokumenterte sårbarheter fra IE, mens antallet var 31 i 2008.
Chrome
Den gjennomsnittlige eksponeringstiden for de 29 sårbarhetene som ble fjernet fra Googles nettleser i 2009, var omtrent to døgn. I det verst tilfellet brukte Google 16 dager på å fjerne en kjent sårbarhet. I 2008 ble det bare funnet seks sårbarheter i Chrome, men det kan skyldes at nettleseren først ble offisielt lansert i desember 2008.
Diagrammet over viser likevel at fire av de fem nettleserleverandørene brukte i gjennomsnitt kortere tid på å fjerne sårbarheter i 2009 enn i 2008. Unntaket er Apple som økte gjennomsnittstiden fra 9 til 13 dager.