Au cours du mois dernier, Washington Post, le blogueur Brian Krebs a parlé à la sécurité des chercheurs, afin qu'il puisse compiler des données sur les vulnérabilités de sécurité trouvée dans les logiciels Microsoft. Après analyse des résultats, ce qui n'a pas été trouvé Krebs inattendu, mais en même temps, toujours difficile à croire: pour la plupart de l'année 2006, Internet Explorer (IE) est vulnérable à la connaître, sans patchs exploits.
Krebs chiffres montrent que pour 284 jours l'année dernière, d'exploiter le code était sans patchs disponibles au public pour des vulnérabilités dans Internet Explorer 6 et en dessous. Pire encore, pour 98 jours l'année dernière, les pirates ont été sciemment sans patchs exploiter des failles dans le navigateur pour avoir accès à des personnes de données à caractère personnel. Dans l'ensemble, il ya eu dix cas d'exploiter le code en cours de publication à la "Net de Microsoft avant la fixation du bogue.
À ce stade, vous devez vous demander comment Krebs est venu avec ces chiffres. Voici comment cela a été fait:
Tout d'abord, une note sur la méthodologie de ce blog: Les données présentées ici se fonde sur un projet, j'ai commencé à la fin de 2005 la recherche sur trois ans d'efforts de Microsoft pour ne traiter que les plus graves failles de sécurité dans ses logiciels. J'ai effectué la même recherche à nouveau le mois dernier, individuellement, avec la quasi-totalité de la sécurité des chercheurs qui ont présenté des rapports de failles critiques dans les produits Microsoft à apprendre d'eux, non seulement les dates auxquelles ils ont soumis leurs conclusions à la société, mais aussi d'autres tendances de la sécurité ou ils ont observé des anomalies dans le travail avec le plus grand fabricant de logiciels.
Oui, il ya beaucoup de place à l'erreur dans Krebs méthodologie, mais il fait également acte du fait qu'il a présenté ses conclusions à Microsoft avant d'écrire l'article. "Les fonctionnaires, je traite avec utilement d'accord ou quibbled légèrement avec certains de mes résultats, mais l'entreprise n'a pas soulevé d'objections qui aurait une incidence importante sur les résultats présentés dans cette étude des failles IE", at-il dit.
Par souci de comparaison, Krebs a également interrogé des spécialistes de la sécurité sur les vulnérabilités de Firefox. Il découvrit qu'il y avait seulement neuf jours de l'année dernière, où l'exploitation de code qui circulent sur Internet pour un trou dans Firefox connus.
Prise de haut niveau tenu de Krebs des résultats, je ne suis pas surpris du tout. Comme il le souligne, IE a à peu près 80 pour cent des parts de marché et il fonctionne sur le plus largement utilisé le système d'exploitation dans le monde. Pour un hacker, de la publication de nouveaux exploiter code pour IE et de rendre les utilisateurs de Windows la vie misérable est un excellent moyen d'acquérir une certaine notoriété anonyme. Franchement, Internet Explorer est l'ultime objectif pour les Black Hats.
Qu'est-ce que vous éloigner de Krebs rapport? Seriez-vous attribuer les numéros à la popularité des navigateurs? Si Firefox ont été aussi populaires que IE, pensez-vous qu'il subirait le même sort?