Dit is deel 2 van een serie. Deel 1 is hier te lezen als inleiding. In dit artikel zal ik ingaan op de vraag wanneer je daadwerkelijk 'risico loopt' zoals Mozilla op zijn security pagina beweert. 'Risico lopen' wordt gedefinieerd aan de hand van publiekelijk beschikbare exploits (met een proof-of-concept) zonder dat er een patch beschikbaar voor is.

Voordat ik naar recente data kijk, bekijken ik eerst wat er achter de 'risico kaart' van 2006 zit. Welke releases waren dat jaar beschikbaar?

- IE 5.01 werd het hele jaar ondersteund

- IE6 werd het hele jaar ondersteund<br>

- IE7 werd ondersteund vanaf 18 oktober (75 dagen)

- FF1 werd ondersteund tot 12 april (102 dagen)

- FF1.5 werd het hele jaar ondersteund<br>

- FF2 werd ondersteund vanaf 24 oktober (69 dagen)

Bij Internet Explorer (IE) werd een veiligheidsprobleem geteld als een (maakt niet uit welke) van de browserversies last had van het probleem (en dus IE-gebruikers). In de praktijk denk ik dat die regel betrekking had op IE5.01 -die uitkwam in november 1999- en IE6 die op de markt kwam met Windows XP in oktober 2001.

Het eerste probleem had alleen betrekking op IE5.01, en ik zie niet in hoe dit problematisch kon zijn voor veel gebruikers. In het originele artikel staat ook dat IE7 'te laat kwam om dat jaar nog veel gebruikers meer functionaliteit te geven', daar kan ik het niet mee eens zijn. Een gebruiker die op 18 oktober 2008 IE upgrade naar versie 7 reduceerde de 'risico periode' met 75 dagen tot het eind van het jaar.

Firefox doorgelicht

Hoe zit het met de Firefox kaart? Het heeft me wat tijd gekost, maar hieronder staat mijn lijst met Firefox problemen die of een proof-of-concept, of een exploit code hadden in 2006. Daarnaast zijn ze bevestigd door Mozilla in een Mozilla Foundation Security Advisory.

Gebaseerd op deze lijst kunnen we nu een nieuwe 'risicokaart' samenstellen voor Firefox gebruikers in 2006. Als uitgangspunt nemen we hun kaar: 31+45+209=285 'risicodagen'.

Ander beeld

Hmmm, dat geeft wel een ander beeld gebaseerd op wat meer onderzoek, met informatie van de Mozilla Security Advisories zelf en het doorklikken van een paar links op de Nist.gov site.Wat zou de verklaring kunnen zijn voor mijn kaart waarop 285 risiscodagen staan terwijl uit hun originele studie maar 9 risicodagen rolden?

Ik heb nu het voordeel om het geheel over een langere periode te analyseren, terwijl er bij de originele studie hetzelfde werd geprobeerd vlak na het einde van de periode. Dat maakt het moeilijker om alle problemen goed te duiden.Het is mogelijk om een 'wachtperiode' aan te merken waardoor er een accurater beeld verkregen wordt bij dergelijke statistieken. Je kunt daar alles over lezen in deze IEEE paper: Estimating Software Vulnerabilities.

Uiteraard is dit nog steeds erg oud nieuws aangezien 2006 een aantal jaar achter ons ligt. Maar omdat deze cijfers zijn goedgekeurd door Mozilla en gebruikt worden voor hun beveiligingsmarketingclaims, ben ik wel erg benieuwd hoe de nieuwe Firefox producten het hebben gedaan in recentere periodes. Zeker omdat zowel IE7 en FF2 pas in oktober 2006 op de markt kwamen en dus niet echt bij hebben gedragen aan de 'risicokaart'.

Nieuwe resultaten

Laten we even op een rijtje zetten hoe de situatie er vandaag uitziet met de laatste releases:

<br>

- IE5.01 wordt nog steeds actief ondersteund

- IE6 wordt nog steeds actief ondersteund

- IE7 wordt nog steeds actief ondersteund

- FF1 bereikte End-of-Life (EOL) op 13 april 2006

- FF1.5 bereikte EOL op 30 mei 2007<br>

- FF2 bereikte EOL op 18 december 2008<br>

- FF3 werd uitgebracht op 17 juni 2008

<br>

Geen enkele versie die op de kaart staat bij de Firefox securitypagina wordt op dit moment nog ondersteund. En geen enkele versie was heel 2008 beschikbaar, alhoewel FF2 in essentie wel het hele jaar beschikbaar was.

Stay tuned. In volgende delen van de serie zal ik de meer recentere data van de Firefox kaart reconstrueren. Maar voordat ik daaraan begin zal ik in mijn volgende artikel wat dieper ingaan op de heisa die ontstond na mijn Internet Explorer and Firefox Vulnerability Analysis' van vorig jaar.

Jeff Jones is security director bij Microsoft's Trustworthy Computing group. Jeff heeft jarenlange beveiligingservaring en werkte met het interne beveiligingsteam van Microsoft en veel Chief Security Officers uit het bedrijfsleven. Hij doet onderzoek om praktische en meetbare resultaten over beveiliging te krijgen waarmee de beveiliging van Microsoftprogramma's en processen verbeterd worden.

Vertaling: Loek Essers. Bron: CIO.com.