Исследование безопасности Интернет браузеров в 2006 году

Цель данной статьи предоставить статистические данные по уязвимостям в популярных Web браузерах и сравнить их по разным параметрам. В отличие от операционных систем, сравнивать браузеры значительно проще, так как это одиночные программы, обладающие схожей функциональностью и использующиеся для одних и тех же задач.
Microsoft Internet Explorer

В августе 2006 года было опубликовано 2 исправления, устраняющих критическую уязвимость в функции CMimeFt::Start() (CVE-2006-3869) и 7 других уязвимостей (CVE-2006-3450, CVE-2006-3451, CVE-2006-3637 ,CVE-2006-3638 ,CVE-2006-3639 ,CVE-2006-3640).

Всего с начала года было устранено 25 уязвимостей в браузере Internet Explorer, представленных в следующей таблице:
Уязвимость Критичность
CVE-2006-3869 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3450 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3451 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3637 5.6 AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3638 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3639 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3640 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-1303 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2382 4.7(AV:R/AC:L/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-2383 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2384 3.7(AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-2385 3.7(AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-1992 8.0(AV:R/AC:L/Au:NR/C:P/I:P/A:C/B:N)
CVE-2006-2218 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1185 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1186 10.0(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)
CVE-2006-1188 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1189 10.0(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)
CVE-2006-1190 10.0(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)
CVE-2006-1191 3.7 (AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-1192 1.9 (AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1245 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1626 2.7 (AV:R/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2006-1388 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1245 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)

В настоящее время известно о наличии как минимум 13 незакрытых уязвимостей в браузере Internet Explorer (большинство из которых не работает в Internet Explorer 7.0)
CVE-2006-3200 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-2900 3.7 (AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-2111 4.7(AV:R/AC:L/Au:NR/C:P/I:P/A:N/B:N)
CVE-2005-4679 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2005-3240 5.6 (AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2005-2274 1.9 (AV:L/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2005-0500 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2005-0110 1.9 (AV:L/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2004-1331 1.9 (AV:L/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2004-1155 8 (AV:R/AC:L/Au:NR/C:P/I:C/A:P/B:N)
CVE-2004-1104 8 (AV:R/AC:L/Au:NR/C:P/I:C/A:P/B:N)
CVE-2004-0869 3.3 (AV:R/AC:L/Au:NR/C:C/I:N/A:N/B:N)
CVE-2004-0866 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
Mozilla Firefox

В Августе 2006 года в Mozilla Firefox было сообщено о наличии 2-х уязвимостей в Mozilla Firefox ( CVE-2006-4253 и CVE-2006-4261) которые не устранены на текущий момент. Всего с начала года в Mozilla Firefox устранено 56 уязвимостей в браузере Mozilla Firefox 1.x, 36 из которых были критическими и могли использоваться для получения полного контроля над уязвимой системой.
CVE-2006-0292 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0293 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0294 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0295 3.9(AV:L/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0296 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-0297 3.9(AV:L/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0298 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-0299 4.7(AV:R/AC:L/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-0748 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0749 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1529 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1530 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1531 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1723 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1724 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1725 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1726 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1727 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1728 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1729 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-1730 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1731 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1732 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1733 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1734 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1735 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1736 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1737 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1738 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-1739 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1740 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1741 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1742 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1790 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2782 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-1942 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1993 3.7(AV:R/AC:H/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-2613 1.9(AV:R/AC:H/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-2775 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2776 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2777 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2778 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2779 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2780 4.7(AV:R/AC:L/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-2783 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2785 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2786 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2787 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2894 3.7(AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-3113 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3677 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3801 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3802 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-3803 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3805 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3806 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3807 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3808 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3809 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3810 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-3811 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3812 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)

В настоящее время достоверно известно о наличии 2-х незакрытых уязвимостей в браузере Mozilla Firefox.
CVE-2006-4253 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-4261 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:A)
Opera Web browser (8-9).

В августе 2006 года в Web браузере Opera небыло обнаружено новых уязвимостей. Всего с начала года было сообщено о наличии 7 уязвимостей, только одна из которых была критическая. Все приведенные уязвимости устранены в 9-й версии браузера. В настоящее время неизвестно о наличии незакрытых дыр в Web браузере Opera.
CVE-2006-3945 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3353 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3331 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3227 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3199 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3198 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1834 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
Safari

В августе 2006 года было сообщено об устранении одной уязвимости в Web браузере Safari CVE-2006-3504, которая устранена в кумулятивном исправлении для MacOS X (http://www.securitylab.ru/vulnerability/271518.php). Всего с начала года было устранено 16 уязвимостей в Apple Safari, 2 из которых были критическими.
CVE-2006-3504 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3372 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3224 2.7(AV:R/AC:H/Au:NR/C:N/I:N/A:C/B:N)
CVE-2006-1457 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1447 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-2277 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-1988 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-1987 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1986 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1552 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-0399 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0398 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0397 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0387 4.7(AV:R/AC:L/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-0389 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-0388 3.7(AV:R/AC:H/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-0848 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)

В настоящее время достоверное известно о наличии 2-х незакрытых уязвимостей в Веб обозревателе Apple Safari.
CVE-2006-3946 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-2019 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)

Как видно из приведенных цифр, больше всего уязвимостей в 2006 году было обнаружено в браузере Mozilla Firefox:

По критическим уязвимостям Mozilla Firefox еще больше опережает другие браузеры, в 2006 году 64% критических уязвимостей были обнаружены в браузере Mozilla Firefox.

Лидером по незакрытым уязвимостям с большим опережением стал браузер Internet Explorer. Однако, следует учесть, все из 13 незакрытых уязвимостей устранены в браузере Internet Explorer 7.0, финальная версия которого появится в ближайшее время.

Следует учитывать, что подавляющее большинство Интернет пользователей при выборе того или иного программного продукта мало обращают внимание на его безопасность и больше руководствуются личными предпочтениями. Поэтому приведенные ниже цифры не стоит воспринимать как руководство к действию и перестать использовать любимый браузер. Например посетители сайта SecurityLab.ru предпочитают пользоваться следующими браузерами:

* Internet Explorer 6.0 - 52%
* Mozilla FireFox 1.x - 21%
* Opera 9.x - 16%
* Opera 8.x -6%
* Explorer 7 - 1.5%
* Mozilla 1 - 1.4%
* Остальные браузеры <1%
Страницы: 1