Дутая безопасность Firefox

Американская компания Cenzic обнародовала результаты исследования безопасности популярных браузеров в первой половине текущего года. Самым уязвимым веб-обозревателем оказался Firefox.

Уходящий ноябрь оказался крайне богатым на события для сообщества Mozilla. Пятилетний юбилей Рыжего Лиса, обнародование некоторых планов на ближайшее будущее, выпуск бета-версии Firefox 3.6 и предварительной редакции программы с индексом 3.7, использующей для прорисовки нагруженных графическими элементами сайтов мощности современных графических ускорителей, - все эти и некоторые другие события омрачились опубликованным специалистами американской компании Cenzic отчетом Web Application Security Trends Report, описывающем уровень безопасности веб-приложений. Согласно последнему, Firefox занял лидирующие позиции по числу уязвимостей среди всех остальных популярных браузеров.

По данным экспертов Cenzic, 44% всех обнаруженных в интернет-обозревателях дыр, пришлось на Firefox. Второе место досталось браузеру Apple Safari с 35%; далее следуют Internet Explorer и Opera с 15 и 6% соответственно. При этом аналитики отметили, что во второй половине прошлого года наблюдалась совершенно иная картина: по количеству брешей в защите лидировал майкрософтовский IE с долей в 43%, а на всенародно любимый Firefox приходилось 39% новых уязвимостей. Такие вот пирожки...

Что же такое произошло? Как могло случиться так, что на долю программного продукта, одним из главных принципов разработки которого является безопасность веб-сёрфинга, вдруг пришлась почти половина уязвимостей? Представители исследовательской компании Cenzic самым слабым звеном в информационной безопасности Firefox назвали механизм плагинов и призвали специалистов Mozilla в корне пересмотреть модель расширений, используемую в настоящий момент. Это во-первых. Во-вторых, сотрудники Cenzic акцентировали внимание на огромной армии пользователей приложения и объяснили, что большое количество обнаруживаемых в браузере уязвимостей является следствием чудовищной популярности Рыжего Лиса, привлекающего внимание не только обычных юзеров, но и злоумышленников.

Факт наличия большого числа уязвимостей в Firefox подтвердил Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. В качестве доказательства Кирилл привёл отчёт Symantec Internet Security Threat Report (для региона EMEA документ представлен по этой ссылке) за 2008 год, в течение которого свободный обозреватель действительно сохранял лидирующие позиции по количеству дыр (99 против 122 в 2007 году), что примерно составляет 40 процентов от всех уязвимостей в различных браузерах.

"Есть несколько причин, объясняющих такое количество найденных в продукте брешей. Во-первых, на данный момент Firefox - второе по популярности средство просмотра интернет-контента, следовательно, авторы вредоносного ПО пытаются использовать любые его недоработки в своих интересах, - так прокомментировал ситуацию Кирилл Керценбаум. - Во-вторых, так как Firefox фактически является программным продуктом с открытым кодом, то, к сожалению, процесс контроля качества в нём более трудоёмок и менее надёжен, а потенциальная возможность внесения специальных "недокументированных" возможностей очень проста". Кирилл подчеркнул, что в продуктах компаний, занимающихся производством систем защиты, предусмотрена специальная дополнительная система защиты от уязвимостей в браузерах, и не преминул привести в пример решения корпорации Symantec - Norton Antivirus, Norton Internet Security и Norton 360.

Иной позиции придерживается координатор проекта Mozilla Россия Александр Словесник, весьма критически относящийся к опубликованным в Сети результатам тестирования безопасности браузеров. По его словам, в исследовании Cenzic не учтено несколько значимых факторов. Во-первых, не рассмотрена серьёзность найденных уязвимостей. Все обнаруженные прорехи свалены в одну кучу. Во-вторых, не принята во внимание скорость устранения уязвимостей. Компания Mozilla оперативно устраняет найденные уязвимости в зависимости от их серьёзности. В-третьих, не учтена скорость перехода пользователей на пропатченную версию программы. Согласно исследованию Spylog.ru, пользователи Firefox переходят на обновленную версию в течение нескольких дней. Очевидно, согласно статистике, Internet Explorer и Opera не могут этим похвастаться. В-четвертых, не рассмотрено количество уязвимостей, оставшихся не устраненными. Статистические данные IE и Firefox говорят сами за себя, и не следует списывать их со счетов. Наконец, не учтен тот факт, что из протестированных Cenzic браузеров только Firefox является открытым и полностью публикует статистику устранённых уязвимостей. Количество брешей, втихую залатанных разработчиками IE/Opera/Safari, остаётся неизвестным. "Вкратце говоря, уязвим не тот браузер, в котором найдено больше дыр, а тот, чьи пользователи дольше всего живут с дырами", - резюмировал Александр Словесник.

Что же в итоге получается? А получается, что мы вновь столкнулись отсутствием единых общепринятых средств и стандартов для оценки параметров конкурирующих продуктов (см. наши недавние материалы "Dr.Web и устойчивость к взлому" и "Google Chrome 4.0 beta: покорение скорости"), и до тех пор, пока не будут выработаны конкретные правила, чёткой картины того, какой из представленных на рынке браузеров наиболее безопасен, мы не увидим, и в Интернете будут с завидным постоянством появляться исследовательские отчёты, подобные рассмотренному в этой заметке.