IE8 признан одним из менее уязвимых браузеров
10264
Сегодня безопасность приобретает особое значение, поскольку в руках злоумышленников появилась масса способов совершить кражу личной информации. Как правило, это , но это не меняет того факта, что некоторые из платформ более уязвимы для атак, нежели другие.
Как правило, уязвимость возникает по одной из двух причин - ошибки в разработке и уровня использования. В связи с последней пользователи Internet Explorer 8, несмотря на постоянно вносимые исправления, по-прежнему находятся в опасности из-за своей доминирующей позиции на рынке.
от Cenzic оценивает первую причину и содержит информацию об уязвимостях из таких источников, как NIST, MITRE, SANS, US-CERT, OSVDB, OWASP, а также информацию об уязвимостях в веб-приложениях из публично доступных баз данных за первую половину этого года.
Результаты исследования весьма интересны. Было установлено, что наиболее уязвимым браузером является Mozilla Firefox, недалеко от него отстал и Safari от Apple. Safari пострадал от многочисленных уязвимостей, обнаруженных в мобильной версии Safari, поставляемой в составе iPhone и IPod Touch.
Процент уязвимостей по браузерам
Процент уязвимостей Firefox составил 44% и это при том, что по оценкам исследователей этот браузер занимает около 30% рынка. Статистика по Microsoft оказалась лучше, чем можно было предположить - на долю браузера IE8, которая на текущий момент составляет порядка 60%, приходится всего 15% уязвимостей. Opera оказалась наименее уязвимой - количество известных уязвимостей в Opera составило всего 6% от общего числа уязвимостей, однако, ее доля на рынке составляет всего несколько процентов.
Самым большим источником уязвимостей, согласно исследованию, являются веб-приложения. Веб-приложения из общего числа выявленных уязвимостей составляют 78%. В топе таких приложений оказались решения от Sun, IBM и Apache.
Уязвимости по типу
Согласно результатам исследования, статус наиболее распространенных в этом году уязвимостей заслужили SQL Injection (25%) и Cross-Site Scripting (XSS) (17%). Однако, такие классические способы, как переполнение буфера, не теряют своей актуальности.
Рассматривая эти цифры, важно понимать, что в исследовании не приведено общее число атак или фактическое количество пострадавших пользователей - цифры, которые крайне сложно точно подсчитать. Таким образом, некоторые браузеры (например, IE8) на самом деле могут быть более опасными, чем показывает исследование, в связи с ведущим положением на рынке, а другие (такие как Opera) могут быть менее опасными, чем указано, в силу их крошечной доли.
Разработчикам Mozilla следует хорошенько задуматься, поскольку Firefox, несмотря на растущую популярность (на текущий момент занимает вторую позицию по величине доли рынка, уступая лишь Microsoft), оказался наиболее подверженным уязвимостями. Результаты исследования отражают выводы, сделанные компанией Bit9, которая в прошлом году причислила Firefox к приложениям, представляющим для безопасности компаний.
Источник:
Перевод: Really Fenix
Комментарии
>> на долю браузера IE8, которая на текущий момент составляет порядка 60%,
Opera оказалась наименее уязвимой - количество известных уязвимостей в Opera составило всего 6% от общего числа уязвимостей, однако, ее доля на рынке составляет всего несколько процентов.
Как говорится... Меньше народу - больше кислорода.
Опера - это не для домохозяек))) Очень рад, что Опера опять подтвердила свой статус безопасного браузера, а Firefox "страдает" из-за своей открытости кода и возрастанием доли пользователей... 
От Safari не ожидал, значит и Chrome "дырявый".
значит и Chrome "дырявый".
не значит. чуть дальше по тексту сказано, что это из-за мобильной версии на айфоне, которая тоже идет в счет. с оперой и так все понятно - кто будет ломать браузер, которым пользуются менее 2 % пользователей
В принципе согласен, то количество обновлений которые выпускает Firefox уже настораживает. Сам им пользуюсь и в последнее время частенько он обновляется. Это правда не смущает, но все же задумываешься. С другой стороны на лисе много плагинов, которые и ведут к таким последствиям.
Честно говоря, раньше лиса была лучше, а сейчас много мусора. И все чаще, мне как-то хочется минимализма в браузере, и я все меньше доволен лисой. Правда другие браузеры тоже не восхищают. Мне кажется, нужен новый разработчик, с новыми идеями =)
#57879 Frost.khv @13.11.2009 11:53
фигня на самом деле. Что обновляется часто - это нормально. Винда вон тоже обновляется и ничего, жрать не просит. Не знаю, как там Мак-Ос, но кубунта тоже достаточно часто обновляется. Большая часть уязвимостей - процентов 75-80 - приходится на всякие плагины к ФФ, а не на сам браузер. Собственно это неудивительно - если сам браузер пишет какая-то строго определенная команда людей, то плагины пишутся кем попало и устанавливая плагин на ФФ, всегда делаешь это на свой страх и риск. А плагинов под него много хороших и разных. К тому же флешу достаточно претензий по безопасности. С другой стороны, без плагинов жить грустно и неудобно, так что тут надо выбирать. Ибо в идеале вообще надо отключить все плагины, жаваскрипт и оставить только возможность отображать голый хтмл. Вот тогда будет вам безопасность. Но немногим оно надо на само деле.
да и вообще, все эти обзоры достаточно противоречивы - тут Опера на коне, а в предыдущих обзорах она к каким-то типам атак проявляла просто фантастическую уязвимость. И хрен его знает, кому верить.
severin
Согласен. Пусть обновляется, главное что это делает ))
Тоже думаю, что все эти плагины сторонних производителей и "мешают" безопасности, но без них лиса ничего из себя не представляет. Так что эта проблема будет у лисы всегда.
Лишний раз убеждаюсь, что сдлав много лет назад правильный выбор в пользу Оперы, я не ошибся. Мне искренне плевать на то, что ей меньше людей пользуется. Лично мне от этого ни холодно, ни жарко. Важно то, что мне с ней хорошо. ))
По-моему, такая новость уже была. Самым дырявым тут, как ни странно, получается Safari (это если рассуждать логически, с оглядкой на рыночную долю). Тем более, Firefox - единственный опенсорсный, как я понимаю, из всех здесь указанных браузеров, это тоже играет роль.
Не уверен, что все поймут специфику, но наличие открытой багзиллы (системы учёта и отработки ошибок) делает более простым сообщение об ошибках - раз, делает все ошибки, даже найденные самими разработчиками, открытыми для общественности. Это естественно приводит к увеличению видимого количества ошибок.
Аналогия из жизни. Внедряем продукт. Под него внедрили багзиллу. Наш край активно постит в неё баги по внедряемой системе. Соседние области практически не постят. Но не потому, что ошибок нет (система одна и та же), а потому что внедрением там занимается в большей степени головной офис, которому НЕВЫГОДНО что либо писать в официальной багзилле, т.к. за это руководство даёт по голове (по количеству ошибок в системе). В результате руководству подаётся соответствующий отчёт, после которого у руководства складывается мнение вида: "Вечно в этом крае всё не слава богу! И ошибок у них уйма - они там случаем не саботажем ли занимаются?! Во всех остальных областях всё ведь нормально..."
Вот такие вот реалии. Кто-то честно делает работу, а кто-то статистику крутит в угоду себе...
Внедряем продукт. Под него внедрили багзиллу.
Это очень плохо. Работать в багзилле сущий кошмар.
Бесплатный сыр - он обычно в мышеловке бывает.
До багзиллы был "Вопросы колцентра.xls"...
Работать в багзилле удобно. Удобнее не видел. Проприетарные подобные системы видел, пользовался (например внтурення система учёта ошибок в моторолле - не помню уже как называется). Неудобная.
> Бесплатный сыр - он обычно в мышеловке бывает.
Глупости
Бесплатно снег с неба падает и солнце светит. Хотя может вы и платите за это...
внтурення система учёта ошибок в моторолле - не помню уже как называется писал:
Что-то в свое время слышал об этой системе, слава Богу, не работал в ней. Скажите, а с TTP вы вообще не сталкивались? Из всех систем bug-tracking, с какими сталкивался, лучше пока не видел. Да, и она проприетарная и сделана только под Win.
> Бесплатный сыр - он обычно в мышеловке бывает. Глупости писал:
Бесплатно снег с неба падает и солнце светит. Хотя может вы и платите за это... писал:
Это было образное выражение, если вы не поняли. Наезда в моих словах не было 
Бесплатно снег с неба падает и солнце светит. Хотя может вы и платите за это...
Небольшой оффтоп. Насчет солнца и снега есть интересная история. В Крыму какой-то умный мужичок поставил у себя ветряк на участке, чтоб электричество с него получать. Так вот. К нему нагрянула налоговая по той причине, что он нелегально использовал природные ресурсы, которые принадлежат государству. То есть ветер - он такой же ресурс, как и нефть, газ, лес - за его использование надо налог отшуршать )) Ну и налогов за это не заплатил, естественно. Я не в курсе, как в Украине дело обстоит с солнечной энергией, но по аналогии можно представить, что вся солнечная энергия, которая падает на ее территории, тоже принадлежит гос-ву )) Думаю, до налогообложения воздуха уже недалеко в принципе - он ведь тоже госсобственность фактически по такой логике ))
> Да, и она проприетарная и сделана только под Win.
Такие решения не подходят для открытых проектов.
> То есть ветер - он такой же ресурс, как и нефть, газ, лес - за его использование надо налог отшуршать ))
Да уж.
По теме
- Microsoft готовит экстренный патч для уязвимости нулевого дня в Internet Explorer
- С Anniversary Update некоторые изменения коснутся и Internet Explorer
- NetMarketShare: Chrome обогнал IE и стал самым популярным десктопным браузером
- Обновлено: 12 января прекратится поддержка браузеров Internet Explorer устаревших для конкретной версии Windows
- C 12 января 2016 года прекращается поддержка устаревших версий IE
- В IE от Windows Vista до Windows 10 найдена серьезная уязвимость
- Internet Explorer вместе с Яндекс и Google признан экстремистским
- Вышло исправление критической уязвимости для IE с 7 по 11 версию
- HP ZDI опубликовала информацию о четырех новых уязвимостях в IE
- Microsoft отказывается устранять очередную уязвимость в IE