05.09.2006

»сследование безопасности »нтернет браузеров в 2006 году

÷ель данной статьи предоставить статистические данные по у€звимост€м в попул€рных Web браузерах и сравнить их по разным параметрам.

÷ель данной статьи предоставить статистические данные по у€звимост€м в попул€рных Web браузерах и сравнить их по разным параметрам. ¬ отличие от операционных систем, сравнивать браузеры значительно проще, так как это одиночные программы, обладающие схожей функциональностью и использующиес€ дл€ одних и тех же задач.

 Microsoft Internet Explorer

¬ августе 2006 года было опубликовано 2 исправлени€, устран€ющих критическую у€звимость в функции CMimeFt::Start() (CVE-2006-3869)  и 7 других у€звимостей (CVE-2006-3450, CVE-2006-3451, CVE-2006-3637 ,CVE-2006-3638 ,CVE-2006-3639 ,CVE-2006-3640).

¬сего с начала года было устранено 25 у€звимостей в браузере Internet Explorer, представленных в следующей таблице:

”€звимость  ритичность
CVE-2006-3869 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3450 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3451 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3637 5.6 AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3638 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3639 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3640 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-1303 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2382 4.7(AV:R/AC:L/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-2383 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2384 3.7(AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-2385 3.7(AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-1992 8.0(AV:R/AC:L/Au:NR/C:P/I:P/A:C/B:N)
CVE-2006-2218 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1185 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1186 10.0(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)
CVE-2006-1188 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1189 10.0(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)
CVE-2006-1190 10.0(AV:R/AC:L/Au:NR/C:C/I:C/A:C/B:N)
CVE-2006-1191 3.7 (AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-1192 1.9 (AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1245 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1626 2.7 (AV:R/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2006-1388 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1245 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)

 ¬ насто€щее врем€ известно о наличии как минимум 13 незакрытых у€звимостей в браузере Internet Explorer (большинство из которых не работает в Internet Explorer 7.0)

CVE-2006-3200 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-2900 3.7 (AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-2111 4.7(AV:R/AC:L/Au:NR/C:P/I:P/A:N/B:N)
CVE-2005-4679 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2005-3240 5.6 (AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2005-2274 1.9 (AV:L/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2005-0500 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2005-0110 1.9 (AV:L/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2004-1331 1.9 (AV:L/AC:H/Au:NR/C:N/I:C/A:N/B:N)
CVE-2004-1155 8 (AV:R/AC:L/Au:NR/C:P/I:C/A:P/B:N)
CVE-2004-1104 8 (AV:R/AC:L/Au:NR/C:P/I:C/A:P/B:N)
CVE-2004-0869 3.3 (AV:R/AC:L/Au:NR/C:C/I:N/A:N/B:N)
CVE-2004-0866 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)

 Mozilla Firefox

 ¬ јвгусте 2006 года в Mozilla Firefox было сообщено о наличии 2-х у€звимостей в Mozilla Firefox (     CVE-2006-4253 и CVE-2006-4261) которые не устранены на текущий момент. ¬сего с начала года в  Mozilla Firefox устранено 56 у€звимостей в браузере Mozilla Firefox 1.x, 36 из которых были критическими и могли использоватьс€ дл€ получени€ полного контрол€ над у€звимой системой.  

CVE-2006-0292 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0293 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0294 7 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0295   3.9(AV:L/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0296 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-0297 3.9(AV:L/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0298 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-0299   4.7(AV:R/AC:L/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-0748 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0749 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1529 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1530   7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1531 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1723 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1724 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1725 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1726 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1727   7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1728 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1729 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-1730 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1731 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1732 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1733 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1734 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1735 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1736 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1737 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1738 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-1739 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1740 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1741 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1742 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1790 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2782 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-1942 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1993 3.7(AV:R/AC:H/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-2613 1.9(AV:R/AC:H/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-2775 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2776 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2777 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2778 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2779 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2780 4.7(AV:R/AC:L/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-2783 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2785 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2786 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-2787 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-2894 3.7(AV:R/AC:H/Au:NR/C:P/I:P/A:N/B:N)
CVE-2006-3113 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3677 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3801 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3802 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-3803 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3805 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3806 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3807 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3808 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3809 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3810 2.3(AV:R/AC:L/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-3811 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3812 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)

 ¬ насто€щее врем€ достоверно известно о наличии 2-х незакрытых у€звимостей в браузере Mozilla Firefox. 

CVE-2006-4253 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-4261 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:A)

 Opera Web browser (8-9).

¬ августе 2006 года в Web браузере Opera небыло обнаружено новых у€звимостей. ¬сего с начала года было сообщено о наличии 7 у€звимостей, только одна из которых была критическа€. ¬се приведенные у€звимости устранены в 9-й версии браузера. ¬ насто€щее врем€ неизвестно о наличии незакрытых дыр в Web браузере Opera.

CVE-2006-3945 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3353 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3331 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3227 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3199 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3198 7.0(AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1834 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)

 Safari

¬ августе 2006 года было сообщено об устранении одной у€звимости в Web браузере Safari CVE-2006-3504, котора€ устранена в кумул€тивном исправлении дл€ MacOS X (http://www.securitylab.ru/vulnerability/271518.php). ¬сего с начала года было устранено 16 у€звимостей в Apple Safari, 2 из которых были критическими. 

CVE-2006-3504 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-3372 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-3224 2.7(AV:R/AC:H/Au:NR/C:N/I:N/A:C/B:N)
CVE-2006-1457 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-1447 2.3(AV:R/AC:L/Au:NR/C:P/I:N/A:N/B:N)
CVE-2006-2277 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-1988 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-1987 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1986 7.0 (AV:R/AC:L/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-1552 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-0399 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0398 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0397 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)
CVE-2006-0387 4.7(AV:R/AC:L/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-0389 1.9(AV:R/AC:H/Au:NR/C:N/I:P/A:N/B:N)
CVE-2006-0388 3.7(AV:R/AC:H/Au:NR/C:N/I:P/A:P/B:N)
CVE-2006-0848 5.6(AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N)

¬ насто€щее врем€ достоверное известно о наличии 2-х незакрытых у€звимостей в ¬еб обозревателе Apple Safari.

CVE-2006-3946 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)
CVE-2006-2019 2.3(AV:R/AC:L/Au:NR/C:N/I:N/A:P/B:N)

  ак видно из приведенных цифр, больше всего у€звимостей в 2006 году было обнаружено в браузере Mozilla Firefox:

 ѕо критическим у€звимост€м Mozilla Firefox еще больше опережает другие браузеры, в 2006 году 64% критических у€звимостей были обнаружены в браузере Mozilla Firefox.

 Ћидером по незакрытым у€звимост€м с большим опережением стал браузер Internet Explorer. ќднако, следует учесть, все из 13 незакрытых у€звимостей устранены в браузере Internet Explorer 7.0, финальна€ верси€ которого по€витс€ в ближайшее врем€.

 —ледует учитывать, что подавл€ющее большинство »нтернет пользователей при выборе того или иного программного продукта мало обращают внимание на его безопасность и больше руководствуютс€ личными предпочтени€ми. ѕоэтому приведенные ниже цифры не стоит воспринимать как руководство к действию и перестать использовать любимый браузер. Ќапример посетители сайта SecurityLab.ru предпочитают пользоватьс€ следующими браузерами:

  • Internet Explorer 6.0 - 52%
  • Mozilla FireFox 1.x - 21%
  • Opera 9.x  - 16%
  • Opera 8.x -6%
  • Explorer 7 - 1.5%
  • Mozilla 1 - 1.4%
  • ќстальные браузеры <1%

 

или введите им€

CAPTCHA