Mozilla beweert dat het elk gevonden beveiligingslek in Firefox apart telt en dat het niet stiekem problemen verhelpt, iets wat Microsoft wel zou doen. Reden genoeg voor Microsoft beveiligingsstrateeg Jeff Jones om de cijfers er eens bij te pakken. Analyse van de NVD database met lekken laat zien dat 44 kwetsbaarheden in Firefox niet in de advisories van Mozilla zijn terug te vinden. Jones vraagt zich ook af of de lekken gepatcht zullen worden, aangezien de meeste meer dan een jaar oud zijn, wat weer nadelig voor de tabel is die laat zien hoeveel dagen Firefox gebruikers risico lopen.
Eind 2007 kwam Mozilla's Mike Shaver met de quote: "Het is bekend dat Microsoft release notes voor service packs aanpast en patches bundelt, wat betekent dat je soms één gepatcht lek hebt, terwijl er zeven problemen zijn verholpen." Weer besloot Jones de database met beveiligingslekken te raadplegen en ontdekte dat ook de opensource ontwikkelaar meerdere problemen met één patch oplost.
Stiekem
Als laatste kijkt Jones of Mozilla zich schuldig maakt aan het stiekem patchen van kwetsbaarheden. Hij verdeelde de Firefox-lekken per niet meer ondersteunde versie. Het gaat om lekken die volgens de database van Mozilla nooit gepatcht zijn. "Wat is er dus met deze lekken gebeurt?" vraagt Jones zich af. Hij verwacht geen patches aangezien de versies niet meer ondersteund worden, maar de gebruikte code is waarschijnlijk wel in de nieuwe versie aanwezig. Dat levert drie mogelijke scenario's op. De code is niet in de nieuwe versie aanwezig en mogelijk vervangen, wat nog steeds een fix zou zijn. Het lek is stiekem gepatcht, waar Jones ook een mogelijk voorbeeld van heeft. Of de kwetsbaarheid is nog steeds aanwezig, waar ook enkele mogelijke voorbeelden van zijn.
"Voor de punten die ik onderzocht, spreken de resultaten voor zichzelf. Hoewel het klopt dat je alleen maar kunt zien wat de ontwikkelaar wil dat je ziet, geldt ook voor Mozilla, dat ondanks de stoere taal, zo te zien meerdere problemen bij elkaar bundelt en stiekem lekken patcht als dat het ontwikkelproces uitkomt."
Persoonlijke aanvallen
Steeds meer mensen in dienst van Microsoft beginnen de persoonlijke aanvallen, en die op de softwaregigant zelf, zat te worden. Vanwege de eerdere onderzoeken naar de beweringen van Mozilla ontving Jones niet al te vriendelijke e-mails en reacties. "Mensen kunnen klaarblijkelijk alles over Microsoft of mij zelf zeggen, me een trol noemen, mijn motieven en afkomst in twijfel te trekken, me een leugenaar noemen, wat dan ook, maar als ik durf te twijfelen aan een niet gefundeerde marketingclaim van anderen, dan ga ik opeens over de schreef."
Deze posting is gelocked. Reageren is niet meer mogelijk.