Анализ уязвимостей Internet Explorer и Firefox
7413
В прошлую пятницу Джефф Джонс (Jeff Jones) опубликовал очередное исследование, анализирующее уязвимости Internet Explorer и Firefox. Джонс проводит анализ уязвимостей за последние три года.
Для большинства компьютерных пользователей их веб-браузер является центром взаимодействия с Интернетом, позволяющим посещать различные сайты и пользоваться различными услугами: от бронироваия авиабилетов до онлайн-шоппинга. Подобные задачи делают браузеры ключевым фактором при оценке безопасности пользователей, путешествующих по миру веб-контента и веб-служб.
В последние годы было много разговоров о необходимости улучшений в области безопасности браузеров и в их поддержку было сделано множество исследований, включая данное.
В данном отчете сведены результаты анализа уязвимостей Internet Explorer и Firefox за последние несколько лет: с того момента, как в составе Windows XP SP2 появился Internet Explorer 6, и когда Mozilla выпустила Firefox.
В данном отчете подробно анализируются уязвимости за последние 7 лет, при этом они рассортированы по уровню опасности. Кроме того, в отчете отражены тенденции от версии к версии, а также сколько неисправленных уязвимостей содержится в каждом из анализируемых веб-браузеров.
Источник:
Перевод: deeper2k
Комментарии
И типа утверждается мол гляньте скока дыр в фоксе?? 
н-дя Как было это Иё дырявое, неудобное и глючное, так оно и осталось. Фокс исправляют быстрее, соответственно браузер безопаснее от того, что баги исправляются оперативнее нежели мс латает в отсталом по все параметре решете.
Анализ исправлений дыр Internet Explorer и Firefox проведите
и убедитесь, что дыры в ИЭ остались, а тех дыр в ФФ уже нет
Какая война? Ие уже давно мертв (и когда там до маркетологов M$ это дойдет, нет бы по умолчанию фокс 
сделать браузером по умолчанию ;)
о... на скольких форумах мне приходилось уже Фоксовцев затыкать.. я уже счесть не могу -))
----
Я тот смотрю с какой скоростью заплатки к ФФ выходят(тобишь новые версии) ... это говорит лишь об одном, они страются заляпать побыстрее и выкинуть ...
Так что ваше быстрее далеко не лучше.
Далее.. ФФ все еещ сильно до IE по функционалу не дотягивает. (плагины и в IE есть, так что этим доводом можете подавиться), а вот фф как не мог, так и не может обработать hta -))
+
Опера гораздо удобнее ((-
+
Я точно знаю, с помощью какого броузера у меня правильно отразиться сайт в интернете (и это не ФФ -)) )
Я тот смотрю с какой скоростью заплатки к ФФ выходят(тобишь новые версии) ... это говорит лишь об одном, они страются заляпать побыстрее и выкинуть ...
Да, согласен. Дыры (в том числе и серьезные) в фоксе множаться как грибы после дождя (следствие повышения процента распространенности, и повышения выгоды искать в нем дыры). Дыры (порой древние, имеющиеся в фоксе изначально) настолько часто проявляются, что возникают сомнения: - "Так ли надежен фокс как его малюют?".
Имхо, все эти козни с громоптицей (создание отдельного подразделения) из-за того, что разрабы фокса сами в ужасе от такого дыропада и бросили все силы на их, дыр, латание (на громоптицу, сил не остается), потомучто и так уже имеется налет антирекламы, и фоксовцам, с пеной у рта, превозносившим безопасность своего браузера, приходится, судорожно, исправлять положение.
wiccanmist, разница между тем чего бы тебе хотелось и что есть на самом деле велика.
Ну-ну попробуйте ка простой эксперимент 
у меня 179 закладки что будет если я открою разом их все в фоксе и в ие (у мя виста хом премиум иё 7 и фокс 2) ? сказать? фокс откроет все, ие упадет на 6ой вкладке! А про тормознутость самого иё вообще молчу, попробуйте как открыть 3 вкладки и посмотрите как "хорошо" он работает А пардон ахинею нести мол ие функциональнее фокса эт вообще бред (дополнения иё еще больший из него тормоз делают да и к тому же и не катят отстойные по всем параметрам), че шмалял да он и 1000 доли не дотягивает функционала альтернативных браузеров (Firefox, Opera, Safari и т.д. опережают по всем параметрам). А сайтик соответствует спецификации W3C ?нет? тогда че хочешь чтоб он правильно отображался? тогда правь код как нада! А у мя на памяти брешь URI когда МС уверял мол проблемы не у них а в фоксе и прочих программах, а что оказалось? Оказалось что это как раз проблема МС! А между тем мозиловцы оперативно решили ее выпуском спец. патча! (кстати так же они оперативно закрыл брешь, которую должны были закрыть яблоничники в своем решете под название квиктайм) А вот насчет обновлений в последнее время так тут есть ответ почему, дело в 3 фоксе, ведутся работы на финалку и соответственно все ресурсы направлены в первую очередь именно на 3 версию. Так или иначе Ие самый дырявый из всех, отсталый по всем направлениям. (и кстати этот доклад уже разнесли в пух и прах, он кстати в частности не учитывает обновления которые вносятся в иешник вкупе с другими патчами оси)
Дополнительные факты:
в прошлом году IE был доступен для взлома из-за неисправленных ошибок аж 286 дней, в то время как для Firefox этот показатель равен всего лишь 9 дням.
wiccanmist
Какая жалость у меня IE не упал и при 30 вкладках.. Да у меня больше 15то вкалдок не падает.. ибо по умному поступаю ((- есть Сессии...
У меня около 8 плагинов для IE стоит.. ничегошеньки не тормощит ^^
Вы мне так про HTA и не ответели. Могу еще сказать в чем IE превосходит FF - это расширение CSS. Могу дальше продолжить ((-
На счет W3C - САМОЕ ВАЖНОЕ, что бы сайты отображались верно, а не что где то написано. Так вот ... в IE большинство сайтов отображаются верно, и лично я знаю N-ое кол-во сайтов которые не отображаются(совсем) в FF.
Мне плевать до разработчиков ... я хочу просмотреть инфу кот. на этих сайтах - FF тут не помошник -))
В прошлом году.. это в 2006 году?!?! Это когда MS забило на ie? ((-
Вспомнили тоже мне... Давйате смотреть на показатели сейчас!!! ...
На счет тормозов и тд. .. приведите мне тесты а не голословно орите, у нас один парень на даче робота делал по его словам ... -))))) И не хватило всего 2х деталек в конце.. поэтому он его разборал.. и никто его так и не видел! ((-
Так что ваши выводы.. можете засунуть подальше, т.к. на данный момент картина такова: дырявее FF ((-
В IE функционала больше.
----
PS ...
а теперь определяем вас на п@#$бола.
Приведите мне функциональностей, которых нет в IE, но есть в FF -))
Восстановление сессий - этого нет в иешнике вот и пример, возможность открытия закрытых вкладок, может ли ИЕ пройти тест Acid2? (3 версия фокса проходит, 2 частично, ие по нулям), нет возможности настроить внешний вид под определенные предпочтения пользователя, дополнения для ИЕ на редкость паршивые, это признали и в самом МС чтобы исправить положение в ИЕ 8 они даже обсуждали вопросы с Мозилла Фоундейшн по возможности внедрения технологий по тому же принципу интегрировании дополнений что и в фоксе, антифишинговые фильтры фокса мощнее (это беспорный факт подтвержденный тестами) продолжать? Хорошо вот еще отображение контента сразу, встроенные инструменты для веб-разработчика и т.д.
А в отчете данные что за этот год?
HTA зачем это поддерживать? Сдалось оно
Хм а у меня фокс со всеми 179 вкладкаоу ми не падает и могу спокойно еще понаоткрывать 
Теперь если сайт заточен под ИЕ6 то даже в ИЕ7 не будет правильно отображаться, и еще лично мне ни разу не попадались сайты с проблемами отображения в фоксе, ссылку в студию, теперь если создатели сайтов хотят чтобы их детище было "читабильным" то они будут стараться следовать спецификациям W3C что в общем то нормальные веб мастеры и делают.
П@#$бол это "вы" и не удивлюсь что "вы" имеете отношение к МС, т.к. человек который не имеет личной заинтересованности не станет отрицать очевидные факты отсталости ие по всем параметрам (что признают даже в МС).
А тесты, так приведите сами мне текст доказывающий что ИЕ как бы сказать работает быстрее, что в нем нет глюков, что он менее уязвим (взять хотя бы то что в нем есть активикс который сам по себе опасен). Приведите пример функционала которого нет в фоксе но есть в ие? Ие самый дырявый и опасный т.к. в нем ошибки найти и исправить оперативно у мс нет сил, фокс открытая платформа ошибки можно найти и исправить быстрее, а значит он безопаснее.
Ну и на последок:
Представитель компании Mozilla Foundation высмеял заявление Microsoft о том, что браузер Internet Explorer безопаснее, чем Firefox.
Джефри Джонс (Jeffrey Jones), исследователь и руководитель подразделения безопасности Microsoft Trustworthy Computing, написал обзор, в котором сравнивал отчеты об исправлениях критических ошибок в IE и Firefox.
Неудивительно, что в итоге Джонс пришел к выводу, что в IE было гораздо меньше уязвимостей, нежели в Firefox.
В ответ на этот обзор сотрудник Mozilla Майк Шейвер (Mike Shaver) написал в своем блоге о том, что Джонс написал не совсем правдивый материал. Шейвер рассказал, что Microsoft выпускает заплатки и патчи, не указывая, сколько ошибок они исправляют, тогда как Mozilla описывает каждый найденный баг. А потому в реальности именно IE уязвим гораздо более, чем Firefox.
и еще
В блоге Mozilla Security Blog появилась запись, опубликованная Уиндоу Снайдер (Window Snyder), директором по безопасности Mozilla. В ней бывшая сотрудница Microsoft крепко "прошлась" по своему когдатошнему работодателю, обвинив корпорацию в ложном толковании фактов.
Отчет Джеффа Джонса (Jeff Jones), директора по стратегии безопасности Microsoft, госпожа Снайдер раскритиковала в пух и прах. В этом документе сказано, что за последние три года в браузере Mozilla было исправлено 199 уязвимостей, в то время как в веб-обозревателе залатали только 87 дыр, и на основании этих фактов Internet Explorer можно назвать более защищенным, чем Firefox.
УиндСнайдер не преминула заметить, что количество вылеченных зубов еще ничего не говорит о состоянии ротовой полости в целом. Кроме того, она обратила внимание на тот факт, что в прошлом году IE был доступен для взлома из-за неисправленных ошибок аж 286 дней, в то время как для Firefox этот показатель равен всего лишь 9 дням.
"Мы исправляем ошибки не для наших пиарщиков, а для наших пользователей", - написала в заключение Уиндоу Снайдер.
Вот "тест" при попытке одновременного открытия следующих сайтов ие вылетел (сайты открывал подряд как они у мя расположены в избранном , нажимая по кнопки стрелке, что открывает ссылки в новых вкладках):
На этот раз крах наступил в результате попытки открытия 22 закладок
(как уже отмечал ранее в фоксе откроются все 179 ссылок за раз, естественно с задержкой, но откроютя! и при том не будет проблем в торможении приложения и его краха)
Сигнатура проблемы
Имя проблемного события: APPCRASH
Имя приложения: iexplore.exe
Версия приложения: 7.0.6000.16546
Штамп времени приложения: 46c64caf
Имя модуля с ошибкой: mshtml.dll
Версия модуля с ошибкой: 7.0.6000.16546
Штамп времени модуля с ошибкой: 46c65af4
Код исключения: c0000005
Смещение исключения: 000a49cb
Версия ОС: 6.0.6000.2.0.0.768.3
Код языка: 1049
Дополнительные сведения 1: 8d13
Дополнительные сведения 2: cdca9b1d21d12b77d84f02df48e34311
Дополнительные сведения 3: 8d13
Дополнительные сведения 4: cdca9b1d21d12b77d84f02df48e34311
Дополнительные сведения о проблеме
Код черпака: 534518902
wiccanmist
Может я что-то не так делаю.. но у меня в упор ничего не вылетает -))
(даже с вашим примером)
на счет HTA - может вам и не надо ... а я и мои друзья пользуемся.. причем активно. При том ЭТО никак не встроить с помощью плагинов.
На счет расширений CSS вы так и не ответили.
На счет вашего теста Acid2 ... НИЧЕГО что он валидацию CSS не проходит?! (((((((((- У ха-ха-хииии ... так что этот тест ничего не доказывает.. в нем ошибок до кучи. -))
По поводу дополнений.. и какие дополнения вы знаете у IE что бы говорить что они гавно? ((-
-----
Такс ... теперь по поводу кем вы являетесь ... Нечего меня оскорблять - я не вру, в отличае от вас.
"шмалял да он и 1000 доли не дотягивает функционала альтернативных браузеров"
Я не вижу что бы IE так сильно не дотягивал.. вы даже 100 причин не привили - так что следите за словами.
На счет "Представитель компании Mozilla Foundation высмеял заявление Microsoft о том, что браузер Internet Explorer безопаснее, чем Firefox." - это их мнение о своем продукте.. так что можно было и не сомневаться. А я оцениваю безопасности броузеров не по докладам МС и МФ, а по тому что вижу.. .по тому какие баг листы у IE7 и FF -))))))
Так что нечего мне тут ваши буклетики рекламные всовывать.
Тем более по счет стандартов уже разговор был ... в IE у меня точно все сайты открываются, а в ФФ нет..
Примеры? хм.. множество чатов на движке VOC++, знаю как минимум еще парочку чатов которые работают только в IE.
ikra.tv и все сайты, аля imvu.com на этом же движке верно работают лишь в IE -))
Много примеров...
Оказалось что это как раз проблема МС!
Согласно оффициальному заявлению Фоксовцев (сделанного после выпуска сего патча), это их, и ТОЛЬКО ИХ ФОКСОВЦЕВ, вина (дело было, достаточно давно, но ссылку, думаю, без труда найдете (коли память не изменяет, даже, вроде давал ее в одной из дешней тем)).
УиндСнайдер не преминула заметить, что количество вылеченных зубов еще ничего не говорит о состоянии ротовой полости в целом.
Скорость с которой ставят пломбы, тоже об этом не говорит (вам любой зубной подтвердит: "скорость", порой, означает их низкое, пломб, качество).
"Представитель компании Mozilla Foundation высмеял заявление Microsoft о том, что браузер Internet Explorer безопаснее, чем Firefox." - это их мнение о своем продукте..
Причем мнение рекламное. Кто-ж признает свои ошибки? Признать их, это создать еще больший налет антирекламы чем есть сейчас (он и так, уже, очень большой). Такой дыропад (имхо, давно превзошедший ословый) как в Лисе еще поискать надо.
взять хотя бы то что в нем есть активикс который сам по себе опасен
Плагины и расширения осла, опасны не менее (любой механизм подключения внешних модулей, это, априори, дыра), и не важно что они подключаются не через актив икс. Если ты загрузил не известный модуль с сомнительного места, то идиот ты, а не создатели браузера (и не важно как эти модули подключаются так как в Лисе, или так как в Осле (через актив икс)).
Более того, модули для Лисы, как правило, открыты: для внесения "лишних строчек" (в случае непотребного источника модуля), самое оно (скачал популярный плагин, а он с подарочком ) , а уж они могут как конфиги Лисы, так и рестр (при желании, и коли дело в Виндоус присходит) портить.
А если модуль скачен из "потребного места", то тебе боятся нечего.
Слухайте а не пойти ли вам ословеды Ё..ые на три буквы, я долго терпел вашу ахинею, иди со своими долбаными друзьями в свой HTA (которым только вы уроды пользуетесь) а CSS все поддерживает и расширения тоже, а эти сайты все в фоксе пашут, соответственно, кончайте пи**еть.. (два примера оочень много ) По поводу ошибки в URI так мс же их заделала в недавних обновлениях хпшника (это как раз та самая проблема в которой мс обвинял фокс и прочие браузеры)
А тест Acid2 если вы не знаете что это ты вы отсталый ламер... Тест Acid2 был написан разработчиками спецификаций CSS2.x. Он позволяет проверить насколько обработка страниц браузером соответствует веб-стандартам.
>Слухайте а не пойти ли вам ословеды Ё..ые на три буквы
Понятно. Аргументы кончились. Началось хамство (лучший аргумент, когда аргументам нет).
wiccanmist
у ха-ха-хиии...
Да хоть папой римским тест был-бы написан, а валидацию он не проходит -))))))
----
expression FF в CSS поддерживает?!? Ну да?!? А ну ка.. покажите -)))))))
----
мальчик...идите тусуйтесь ((-
Откуда я знаю на каких важных сайтах он используется? ^^
Поищите сами, а я использую в гаджитах. ((-
По теме
- Microsoft готовит экстренный патч для уязвимости нулевого дня в Internet Explorer
- С Anniversary Update некоторые изменения коснутся и Internet Explorer
- NetMarketShare: Chrome обогнал IE и стал самым популярным десктопным браузером
- Обновлено: 12 января прекратится поддержка браузеров Internet Explorer устаревших для конкретной версии Windows
- C 12 января 2016 года прекращается поддержка устаревших версий IE
- В IE от Windows Vista до Windows 10 найдена серьезная уязвимость
- Internet Explorer вместе с Яндекс и Google признан экстремистским
- Вышло исправление критической уязвимости для IE с 7 по 11 версию
- HP ZDI опубликовала информацию о четырех новых уязвимостях в IE
- Microsoft отказывается устранять очередную уязвимость в IE