Microsoft: Meer lekken in Firefox dan Internet Explorer
Microsoft heeft in een nieuw rapport keihard uitgehaald naar Mozilla, door te stellen dat Internet Explorer minder ernstige lekken dan Firefox heeft. Volgens Microsoft beveiligings- topman Jeff Jones laten de cijfers zien dat Mozilla niet de waarheid spreekt als het Firefox veiliger noemt dan IE. "De afgelopen drie jaar heeft Internet Explorer met minder lekken en minder ernstige lekken te maken gehad dan Firefox."
Sinds de release van Firefox 1.0 in november 2004 moest Mozilla 199 lekken dichten, waarvan 75 ernstig, 100 medium en 24 in de laagste categorie. Microsoft deed het volgens Jones veel beter, IE had in dezelfde periode te maken met 87 kwetsbaarheden, waarvan 54 ernstig, 28 medium en 5 in de laagste categorie.
En dat is nog niet alles, want doordat Mozilla haar browser versies korter ondersteunt in vergelijking met Microsoft, kan dat ervoor zorgen dat meer mensen met een niet ondersteunde versie surfen en daardoor extra risico lopen. Verder kent Firefox 2 meer ongepatchte lekken dan IE7, hoewel de browser van Microsoft met 2 ernstige lekken meer te maken heeft dan bij Mozilla het geval is.
Publieke misleiding
Jeff Jones neemt ook Mozilla's "Chief Security Something or Other" Window Snyder op de hak, maar die bijt fel van zich af. "Helaas voor Microsoft worden niet alle beveiligingsproblemen geteld. Hij telt alleen de publieke problemen, omdat Microsoft ons daar alleen over verteld. Microsoft is bang dat als het zegt dat het X aantal problemen heeft verholpen, de wereld zich zal richten op het feit dat de browser in eerste instantie X aantal lekken had, en niet dat ze nu gepatcht zijn en geen gevaar voor de gebruikers zijn."
Volgens Snyder zorgt dit gedrag ervoor dat gebruikers van IE soms erg lang op een patch moeten wachten voor een lek waarvan ze niets afweten. "Wij bewaren onze patches niet voor een grote release. Wij patchen regelmatig, omdat het beveiligen van onze gebruikers belangrijker is dan de bescherming van ons PR-team, dat op artikelen over het tellen van lekken moet reageren, in plaats van naar de punten te kijken die aangeven of een ontwikkelaar echt z'n best doet om gebruikers te beschermen."
Ook Mozilla topman Mike Schroepfer laat weinig heel van het rapport van Jones, omdat niemand buiten Microsoft weet hoeveel lekken er in Internet Explorer zitten. "Is dit het gedrag van een ontwikkelaar die open, transparant en eerlijk over beveiligingsproblemen is? Ik verwacht meer van ontwikkelaars, en dat zou jij ook moeten doen."
er maar 1x per maand een update uit (als er uberhaubt een
komt), en Firefox update zodra dat nodig is.
Dat vind ik persoonlijk getuigen van een beter patch &
updatebeleid.
Het feit dat er meer fouten in zitten, is gerelateerd aan:
- Het is opensource dus meer mensen zien de code en kunnen
fouten ontdekken
- Er komen meer updates, meer werk = meer kans op iets breken.
verhaal waaruit blijkt dat M$ zoooooo veilig is en altijd
veiliger dan andere makers van software.
De realiteit is echter wat iedereen weet dat de wrakke
software van M$ het op veiligheid gebied niet kan tippen aan
alle open source initiatieven.
Maar het leugenachtige zal ze uiteindelijk de das om doen,
want niemand gelooft het nog behalve M$ zelf en een klein
klupje fanboys.
of Firefox steeds meer problemen krijgt. De browser wordt
steeds zwaarder en vreet geheugen.
Ik ben daarom weer overgestapt op IE7.
Een heerlijke browser ; surft een stuk prettiger dan Firefox
en verbruikt ook minder geheugen.
Firefox was een hype die nu over lijkt te zijn.
Secunia zegt zelf duidelijk dat aantallen fouten niet
bruikbaar zijn om software te vergelijken. Dat komt ook
doordat beide leveranciers vaak meer problemen verhelpen met
een patch.
Maar omdat Microsoft het blijkbaar toch weer nodig vindt om
over aantallen te zeiken, heb ik er een paar bij elkaar
gesprokkeld (All Time):
Browser Adv. Open Ext High Mod Less Not
FF 1.x 45 9% 2% 36% 20% 22% 20%
FF 2.x 18 22% 0% 39% 11% 33% 17%
IE 6.x 121 17% 13% 35% 17% 16% 18%
IE 7.x 19 37% 5% 32% 5% 47% 11%
Volgens Secunia is de ernst-status van een gepatchte FF is
less, van IE moderately.
Toch bezig, dus ook meteen even op SANS
(http://www.sans.org/top20/#c1) gekeken:
Firefox Base
14 totaal Score
CVE-2007-0776 7,5
CVE-2007-0777 9,3
CVE-2007-0779 9,3
CVE-2007-0981 7,5
CVE-2007-1092 9,3
CVE-2007-2292 7,8
CVE-2007-2867 9,3
CVE-2007-3734 9,3
CVE-2007-3735 9,3
CVE-2007-3737 9,3
CVE-2007-3738 9,3
CVE-2007-3845 9,3
CVE-2007-4841 9,3
CVE-2007-5338 9,3
Gemiddeld 8,9
Internet Exp. Base
21 totaal Score
CVE-2006-4697 9,3
CVE-2007-0024 9,3
CVE-2007-0217 10,0
CVE-2007-0218 9,3
CVE-2007-0219 10,0
CVE-2007-0942 9,3
CVE-2007-0944 9,3
CVE-2007-0945 9,3
CVE-2007-0946 9,3
CVE-2007-0947 9,3
CVE-2007-1749 9,3
CVE-2007-1750 9,3
CVE-2007-1751 9,3
CVE-2007-2216 7,5
CVE-2007-2221 9,3
CVE-2007-2222 9,3
CVE-2007-3027 9,3
CVE-2007-3041 9,3
CVE-2007-3826 9,3
CVE-2007-3892 7,5
CVE-2007-3896 9,3
Gemiddeld 9,2
Het beeld van SANS komt aardig overeen met dat van Secunia.
Beide bronnen worden in Jefff Jones' stuk genoemd.
Zijn rapport doet me denken aan de manier waarop de EO
probeert de evolutietheorie 'wetenschappelijk' onderuit te
trappen (je blijft lachen).
Daarnaast was een argeloze gebruiker in 2006 284 dagen
onbeschermd met IE, en maar 9 dagen met FF. Van 2007 heb ik
dit cijfers nog niet gevonden.
Ondanks deze cijfers (en de lange lijst juridische
misstappen) zijn er toch mensen die kwaad blijven worden als
men iets negatiefs roept over Microsoft.
Bij sommige mensen zijn de oogkleppen zo vergroeid met hun
schedel, dat ze alleen operatief verwijderd kunnen worden.
liever FF updaten dan IE,ik wordt al bang als ik met IE7
nieuws sites doe bezoeken, inv de doubleclick infecties bij IE.
krijgt. De browser wordt steeds zwaarder en vreet
geheugen.
Dat is bekend en men hoopt dat met de volgende versie
verholpen te hebben. FF heeft leuke 'goodies' maar toch is
de alleskunner Konqueror veel handiger in 't gebruik.
lekken niet melden, dat ze maar eens in de maand of zelfs
langer patches uitbrengen, dat ze zelfs bij de wereldwijd
erkende CVE lijst van veiligheidsproblemen ruim op kop gaan,
dat ze daar ook veel zwaardere problemen in de lijst hebben
staan. Stel je toch eens voor dat ze kritiek op zichzelf
durven te tonen in plaats van wederom weer met halve
waarheden als modder te gooien naar de concurent. En dat met
zo'n enorm marktaandeel. Weinig respect richting hun
gebruikers door het zo te belichten.
Ze moeten eerlijk zijn tegenover ons, oké een bugloos
systeem bestaat niet, maar er kan wel veel verholpen worden,
de prioriteit ligt dan eerst bij de ernstige lekken die
moeten gepatcht worden , daarna medium en daarna de simpele!
Gewone surfers hebben geen last van deze lekken totdat er
hackers of crackers zijn die het gaan misbruiken, maar
zolang niemand de lekken vrijgeeft hebben de hackers of
crackers geen andere keuze dan zelf op zoek te gaan naar
bugs, en dan is het gevaar kleiner dan wanneer al hun lekken
worden vrijgegeven door media, hunzelf of andere!
Dus is het niet erg slim om alle lekken vrij te geven! Ik
begrijp dus best dat Firefox ze pas vrijgeeft als ze
gepatcht zijn! Maar om al die lekken te maken heb je zoveel
geld nodig om al die programeerders te betalen, qua
Microsoft is dit geen probleem, maar Firefox heeft minder
dus ...
De battle zal altijd doorgaan totdat er iemand is die zegt
dat er nog maar 1 browser mag gebruikt worden, en dat die
door de grootste programeerders wordt onderhouden!
D3nn3
verweten? Zet je gekleurde bril eens af.
patch and trail.
liever FF updaten dan IE,ik wordt al bang als ik met IE7
nieuws sites doe bezoeken, inv de doubleclick infecties bij IE.
beveiligingsmogelijkheden in IE, want daar kun je je goed tegen wapenen
hoor. Gewoon de normale beveiligingen op de juiste instellingen zetten.
Dit is nou precies wat ik zo oneerlijk vind: men heeft geen idee van wat er
in IE allemaal mogelijk is, maar men heeft wel commentaar. En zoals hier
weer blijkt: vaak onterecht.
Ach die "Jeff" heeft om-de-zoveel-tijd weer eens een onzin
verhaal waaruit blijkt dat M$ zoooooo veilig is en altijd
veiliger dan andere makers van software.
De realiteit is echter wat iedereen weet dat de wrakke
software van M$ het op veiligheid gebied niet kan tippen aan
alle open source initiatieven.
Maar het leugenachtige zal ze uiteindelijk de das om doen,
want niemand gelooft het nog behalve M$ zelf en een klein
klupje fanboys.
alles goed wat Mozilla zegt, dat slik je voor zoete koek, maar Microsoft liegt
volgens jou altijd.
Ronduit misselijk, dat commentaar van jou.
Wat een onzinnige vergelijking. Voor Internet Explorer komt
er maar 1x per maand een update uit (als er uberhaubt een
komt), en Firefox update zodra dat nodig is.
Dat vind ik persoonlijk getuigen van een beter patch &
updatebeleid.
Het feit dat er meer fouten in zitten, is gerelateerd aan:
- Het is opensource dus meer mensen zien de code en kunnen
fouten ontdekken
- Er komen meer updates, meer werk = meer kans op iets breken.
we van de week nog gezien. Een update die het middel nog erger dan de
kwaal maakte, waardoor er de volgende dag weer een update moest
komen.
Microsoft komt elke WEEK met updates en de betrouwbaarheid is
daardoor duidelijk groter.
gemist?
groter.
vervangen patches bijna nooit eerder patches. Dus inderdaad
uitermate betrouwbaar.
gaat er echt niet om of je sneller een update uitbrengt voor
je software, maar of je veilger kan coderen.
Het laatste is dus ook niet het geval bij Mozilla. Microsoft
kan dat overigens ook niet.
Het is nogal hypocriet dat ze dat MS verwijten terwijl ze dat zelf ook niet
doen.
Als ik zonder plak spullen en pomp met een lekke pijp
midden in de polder in de gietende regen sta, en nog 5 km
moet lopen voor ik ergens ben, dan kan het me ook niet veel
schelen of ik met een ander type band nog 100 meter had
kunnen doorfietsen.
Het is gewoonweg botte ellende in browser land, en de enige
veilige manier van browser gebruik is in een vette sandbox
zoals plash.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
