digi.no skrev i forrige uke om en rapport fra sikkerhetsselskapet Secunia, som viser at det ble fjernet nesten fire ganger så mange sårbarheter i Firefox som i Opera, Safari og Internet Explorer. I alt tettet Mozilla 115 sikkerhetshull, mens de øvrige leverandørene ikke tettet mer enn drøyt 30.
Tallene er basert på offentlig tilgjengelig informasjon.
I et blogginnlegg kommenterer Lucas Adamski, direktør for sikkehetsteknologi hos Mozilla, det høye antallet sårbarheter som har blitt rettet i Firefox.
Han hevder at disse tallene på ingen måte kan sammenlignes.
- Mozilla legger frem og utgir bulletiner for alle fikser av sikkerhetsproblemer i Firefox, uansett hvordan de har blitt oppdaget. I motsetning til andre leverandører som bare legger frem problemer rapportert av eksterne, uavhengige aktører, men ikke av interne utviklere, kvalitetssikring eller eller sikkerhetskontraktører, skriver Adamski.
Sikkerhetssjef i Microsoft Norge, Ole Tom Seierstad, verken bekrefter eller avviser Adamskis påstand overfor digi.no, men viser til at dersom det i selskapets sikkehetsbulletiner ikke er kreditert eksterne tipsere i forbindelse med sårbarheter, så er sårbarheten blitt oppdaget internt.
Men dette gjelder bare når informasjonen har blitt holdt hemmelig inntil Microsoft har blitt klare med en sikkerhetsfiks. Aktører som har offentliggjort detaljer om sårbarheter før en fiks har blitt utgitt, mottar derimot ikke noen takk fra selskapet.
digi.no har ingen oversikt over hvor stor andel av sårbarhetene Microsoft har fjernet, som er oppdaget av selskapet selv. Vi har i en gjennomgang av sikkerhetsbulletinene Microsoft har utgitt fra og med oktober i fjor, ikke funnet informasjonen om at selskapet selv har oppdaget noen av de sårbarhetene selskapet informerer om i bulletinene.
Ifølge Secunia-rapporten bruker Mozilla kortere tid på å fjerne sårbarheter i Firefox enn det Microsoft bruker på å fjerne sårbarheter i Internet Explorer.
Jeff Jones, som er strategidirektør i Microsofts enhet for sikkerhetsteknologi, skriver i denne saken hos cio.com at det er en rekke kjente og aldrende sårbarheter som ikke offisielt aldri ble fikset i Firefox 2. Jones mener dette bare kan forklares med at sårbarhetene fortsatt finnes, eller at sårbarhetene har blitt fjernet uten at Mozilla har fortalt om det.
Jones bommer derimot når han hevder at en gitt sårbarhet som ble oppdaget i Firefox 3.0 i fjor sommer, fortsatt ikke har blitt fjernet av Mozilla. I kommentarene til en artikkel Jones selv lenker til, skriver Window Snyder, Mozillas tidligere sikkerhetssjef, at sårbarheten ble fjernet i Firefox 3.0.1, som ble utgitt i juli i fjor.
Jones skriver senere i sin artikkel at tiden det tar fra en sårbarhet blir kjent for en leverandør, til leverandører har gjort klar en fiks, er en viktig faktor. Men han skriver videre at en slikt tall ikke forteller noe om kvaliteten på fiksen eller kompleksiteten i arkitekturen hvor sårbarheten fantes.
Jones gir også et spark til Mozilla, som tidligere brukte et lavt antall sårbarheter i Firefox som et argument for hvorfor man burde velge Firefox framfor Internet Explorer. Det er lite som tyder på at Mozilla bruker det argumentet nå for tiden.
Les også:
- [28.04.2009] Andre Firefox-oppdatering på under en uke
- [25.03.2009] Tilbyr vårrengjøring av PC-en
- [05.03.2009] Færrest sårbarheter i Opera i fjor