Mozilla: Firefox is veiliger dan Internet Explorer
Symantec presenteerde gisteren haar Internet Security Threat Report. Een van de bevindingen die men deed was dat er in de eerste helft van dit jaar meer lekken in Firefox dan in Internet Explorer gevonden waren. Mozilla heeft nu gereageerd op het rapport en laat weten dat als er een lek in de browser ontdekt wordt, de Mozilla Foundation meteen reageert en met een oplossing komt. Hierdoor is de gebruiker in betere handen dan bij Microsoft het geval is, waar men vaak langer op patches moet wachten.
"Als je kijkt naar ons vermogen om te reageren, zijn we in een veel betere vorm. Op 6 september werd er een IDN buffer probleem gesignaleerd. Op 8 september werd het bekend gemaakt. We vragen onze ontwikkelaars om lekken pas bekend te maken als we een oplossing hebben, maar voor welke reden dan ook maakte hij het lek toch bekend aan het publiek. Op 9 september hadden we een fix die het probleem verhielp en binnen tien dagen hadden we een versie waar het probleem niet meer in bestond" zegt Tristan Nitot, president van Mozilla Europa.
"Als je kijkt naar Microsoft, dat besloot deze maand een security patch over te slaan. Het lek wordt dus niet verholpen, iets wat bij ons niet gebeurt" gaat Nitot verder, die tevens liet weten dat de lekken in Microsoft's browser veel ernstiger en vaak langer ongepatcht zijn.
In de periode tussen 2003 en 2005 verschenen er 22 security advisories voor Firefox 1.x met de rating "niet kritiek". In dezelfde periode verschenen er 85 security advisories voor Internet Explorer 6.x, die als "zeer kritiek" bestempeld werden.
Nitot vergelijkt de ernst van de lekken dan ook met een blessure: "Wat heb je liever, een gebroken vinger of dat je hoofd eraf ligt?".
Volgens Ollie Whitehouse, onderzoeker van Symantec, zijn de resultaten verrassend. "Ten eerste zijn meer mensen in korte tijd Firefox gaan gebruiken. Meer security onderzoekers en mensen met kwade bedoelingen hebben de code kunnen bekijken. Ten tweede is Firefox open source en hebben meer mensen toegang tot de code, dus kan iedereen naar bugs zoeken. IE is gesloten code, waardoor het veel lastiger is om die te bekijken."
ik zou ook zeggen dat Firefox onveilig is en dat je moet
overstappen naar IE .
Symantec zuigt zo wie zo dus !!!
Het is telkens dezelfde boodschap, mensen hebben het zo vaak
gehoord dat ze de BS beginnen te geloven.
terecht. Feit is dat er meer "high risc" exploits ongepatched zijn bij IE ( al
zijn de exploits niet publiek, risico ervan valt dus te bezien) dan bij FF.
De berichtgeving is in mijn ogen sensatie zoeken, iets wat zo veel mogelijk hits genereert. Dit soort "religeuze" discussies doen het goed.
Wat men denk ik wel in die berichtgeving terecht constateerd, is een trend
breuk, voor het eerst worden er dit jaar in FF meer "gaten" ontdekt dan in IE
en er is niets om aan te nemen dat die trend zich zal keren. Waardoor er op
deze manier in de toekomst IE inderdaad veiliger wordt dan FF.
Pikant detail:
http://www.securityfocus.com/bid/14888
Dit soort "religeuze" discussies doen het goed.
Heeft helemaal niks met religie te maken. Feit is namelijk
dat met FF je pc een heel stuk schoner blijft dan met IE.
Conclusie (simpel maar uiterst doeltreffend) : Firefox is
veiliger dan Internet Explorer.
maakt. Als ik bijv. naar "Cumulative Security Update"
MS05-025 voor MSIE kijk, dan worden voor XPSP2 de volgende
bestanden geupdate:
Browseui.dll, Cdfview.dll, Iedw.exe, Iepeers.dll,
Inseng.dll, Mshtml.dll, Mshtmled.dll, Msrating.dll,
Pngfilt.dll, Shdocvw.dll, Shlwapi.dll, Urlmon.dll en
Wininet.dll.
N.B. dit is nadat er met SP2 al zeer veel fouten uit MSIE
zijn gehaald. En een groot deel van bovenstaande bestanden
was dit jaar al eens "gerepareerd" met MS05-014. En daarna
nogmaals met MS05-020. En na MS05-025 met MS05-038
(bijv. Wininet.dll is in elk van de genoemde updates gewijzigd).
In de vulnerability details van MS05-025 is sprake van 2
issues: "PNG Image Rendering Memory Corruption
Vulnerability" en "XML Redirect Information Disclosure
Vulnerability". In de acknowledgements zijn het al 4 issues,
waaruit blijkt dat naast de update van bovengenoemde
bestanden, ook een killbit moest worden gezet.
Bij Firefox lijkt elke issue wel apart te worden
benoemd, maar of daar niets onder de pet gehouden wordt weet
ik ook niet. De vraag is hoe en of je dit allemaal moet wegen.
Voor degenen die niet tussen Firefox en MSIE kunnen kiezen:
Opera lijkt nu helemaal gratis, het zou geen
bannerware meer zijn. Zie
http://www.opera.com/.
Bron voor dat Opera nieuws:
http://www.theregister.co.uk/2005/09/20/opera_goes_ad-free/
Erik van Straten (ik hou het nog even op Firefox).
In de periode tussen 2003 en 2005 verschenen er 22 security advisories
voor Firefox 1.x met de rating "niet kritiek". In dezelfde periode verschenen
er 85 security advisories voor Internet Explorer 6.x, die als "zeer kritiek"
bestempeld werden.
er ook niet iets mee te maken?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
