Kwetsbaarheid Internet Explorer

Meer dan 1100 kwetsbaarheden in Internet Explorer hebben nooit het nieuws gehaald en nu in één keer is het trending topic in het NOS Journaal van 8 uur. Reden kan zijn dat twee diensten (NCSC en THTC) enigzins tegenstrijdige berichten op Twitter plaatsten. Maar persoonlijk vond ik het wel erg merkwaardig dat er een licht kwaliteitsoordeel over webbrowsers werd uitgesproken en dit is niet terecht en bovenal onwenselijk

 

1) Software (en dus ook webbrowsers) wordt gemaakt door mensen en bevat daarom altijd fouten (één fout per 1000 regels code zo is hier te lezen). Nu is mij de omvang van de verschillende webbrowsers onbekend maar laat ik aannemen dat ze gelijkwaardig zijn. Is het dan zo dat Microsoft minder aandacht heeft voor kwaliteit? Dat geloof ik niet.

2) Als ik de database met bekende kwetsbaarheden erop na sla en zoek op gepubliceerde kwetsbaarheden van de laatste drie maanden, zie ik grofweg de volgende aantallen:
– Internet Explorer, 56 kwetsbaarheden waarvan 54 high, 2 medium en 0 low
– Google Chrome, 52 kwetsbaarheden waarvan 46 high, 6 medium en 0 low
– Firefox, 52 kwetsbaarheden waarvan 32 high, 18 medium en 2 low
De aantallen liggen dicht bij elkaar en ja Internet Explorer voert de lijst aan. Statistisch gezien is het dus de meest kwetsbaarste webbrowser. Maar ook deze conclusie is niet geheel juist immers het aantal bekende kwetsbaarheden is in verhouding met de populariteit van de webbrowser, hoe groter de install-base, hoe meer mensen er naar kijken, hoe meer kwetsbaarheden er gevonden worden.

3) Uit de jaarlijkse hackercontest Pwn2Own, gehouden in Vancouver, is meerdere malen de webbrowser als target genomen. Elk jaar vinden de deelnemers wel een aantal kwetsbaarheden. Uit een recent verslag is gebleken dat Firefox toch eigenlijk wel de zwakste van de vier grote browsers was.

4) Hackers willen een zo groot mogelijke verspreiding/besmetting en richten zich daarom op de browser die het meest gebruikt wordt. Hiermee lopen we met Google Chrome (de grootste op dit moment) dus het grootste risico.

Conclusie: De werkelijke kracht (of zwakte) van een webbrowser wordt niet bepaald door de gevonden kwetsbaarheden, maar door de totale set aan complementaire maatregelen, zoals bijv. de standaard afscherming van de ‘private space’ (die door de gebruiker aangepast kan worden), enz.

Advies: Ga niet opzoek naar de beste browser en houdt er rekening mee dat deze regelmatig ge-update moet worden. En wil je toch meer zekerheid gebruik dan Sandboxie, met deze gratis tool ‘draait’ je webbrowser in een afgeschermde omgeving (de sandbox).

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security ● Technical Infrastructure
Dit bericht werd geplaatst in Security en getagged met , , , . Maak dit favoriet permalink.

2 reacties op Kwetsbaarheid Internet Explorer

  1. Derk Tegeler zegt:

    Ramses, top artikel! Toch zou ik het nog verder willen nuanceren door de besturingssysteem afhankelijkheden mee te nemen alsook de upgrade problematiek, zowel voor browsers als voor besturingssystemen.
    Zeker op mobiel (en de trend is up) is dit een issue.

  2. Rob Augustinus zegt:

    Hoi Ramses, kwam toevallig op je blog terecht. Leuk artikel. In je advies geef je mee om je browser regelmatig te updaten. Bij IE is dit in de praktijk soms lastig omdat de IE updates in de Windows updates mee worden genomen en bedrijven lopen vaak achter hiermee vanwege praktische redenen (testen impact Windows updates, uitroltijd, etc.). Dit is een factor die voor de security van IE impact heeft.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s