IE、Chrome、Firefox 漏洞数量比一比
最近IE浏览器出现了零时差漏洞,一股排山倒海建议大家改用其他浏览器的声浪又出现了。
单就漏洞数量来看Microsoft Internet Explorer ,Google Chrome, Mozilla Firefox这「三巨头」领先的其实不是 IE,而是Google Chrome。
过去五年来,Microsoft Internet Explorer 在这方面呈现逐渐减少的趋势。
趋势科技资安专家Rik Ferguson表达了他的看法,内容如下:
Internet Explorer:宁愿选择您熟悉的恶魔
图片来源:Steve Dinn
过去几天,有关哪个浏览器最安全的争论又再度兴起,主要原因是最近Microsoft Internet Explorer 出现了零时差漏洞。由于此漏洞影响广泛,因而造成一股排山倒海的善意声浪建议大家改用其他浏览器。信息安全专家、企业执行长甚至是德国政府(又再一次) 不断提出这样的呼吁,但问题是,这样的作法有多实际?更重要的是,有多大帮助?
信息安全不是针对个别事件立刻本能反应就能解决,信息安全需建立在一套能降低长期暴险及风险的策略。这套策略还应避免纯粹为了改变而改变,因为,采用新技术所带来的不熟悉,反而可能引来人为的漏洞。
目前最热门的 Internet Explorer 替代方案 (以及目前最受推崇的) 是 Google Chrome 和 Mozilla Firefox,但两者并非全无漏洞或零时差漏洞。事实上,如果摊开眼前的一些证据,我们甚至可以说 Internet Explorer 反而是所有浏览器当中问题最不严重的。
2011 年,Google Chrome 的新漏洞通报数量创下新的纪录,达到 275 个,是该浏览器问世以来漏洞数量整体上扬趋势当中的最高点。Mozilla Firefox 目前虽然已从其 2009 年的最高点开始下降,仍然有 97 个已通报漏洞。过去五年来,Microsoft Internet Explorer 在这方面呈现逐渐减少的趋势,而且在 2011 年只出现 45 个新的漏洞,比其他任何浏览器都低 (除了 Apple 的 Safari 同样为 45 个之外)。当然,单就漏洞数量来看并无太大意义,除非我们将严重性也考虑进去,但即使这样,就「三巨头」的数据来看仍旧是 Internet Explorer 占优势。若再将零时差漏洞也考虑进去,那么,情势也没有太大差异:Google Chrome 有 6 个、Microsoft Internet Explorer 有 6 个,而 Mozilla Firefox 则是 4 个。
不过,很单纯的一项事实是,我们太过关注于零时差漏洞 (例如这次的例子),光是听到「零时差漏洞」这个名字,就连一些不甚了解其涵意的人也会胆颤心惊。企业总是很难让所有浏览器都更新到最新的版本 (就连个人使用者亦不例外),更何况可修补的漏洞数量远超过偶尔出现的零时差漏洞。不管情况如何,现在的攻击已开始越来越针对一些跨平台浏览器通用的插件程序,而非浏览器本身,如:QuickTime、Flash 或 Acrobat。不然就是单纯针对浏览器的使用者而设计 (如网络钓鱼、假冒知名网站或其他社会工程攻击手法)。
面对现实吧,您的浏览器本来就无法保障您的安全,不论是谁开发的都一样。您必须采取一些步骤来自我防卫,不论您使用何种浏览器。
每一种浏览器都有其弱点、漏洞与修补程序 (最后一项有可能没有)。每个人有自己合适的选择,针对不同的安全工具和技巧,您需要对浏览器、技术或威胁特性有不同程度的熟悉,才能有效保护自己,又不会让您无法顺利上网。
针对绝大多数的情况,我们最好的建议是继续使用您最熟悉的浏览器,但请采取一些安全措施。若您冒然改用其他您不熟悉的浏览器,反而可能因为不熟悉而让您比之前更不安全。
起身对抗 IE 或许很酷,但是好东西总是会「历久弥新 」。
作者:趋势科技资安专家Rik Ferguson
图片来源:Steve Dinn
过去几天,有关哪个浏览器最安全的争论又再度兴起,主要原因是最近Microsoft Internet Explorer 出现了零时差漏洞。由于此漏洞影响广泛,因而造成一股排山倒海的善意声浪建议大家改用其他浏览器。信息安全专家、企业执行长甚至是德国政府(又再一次) 不断提出这样的呼吁,但问题是,这样的作法有多实际?更重要的是,有多大帮助?
信息安全不是针对个别事件立刻本能反应就能解决,信息安全需建立在一套能降低长期暴险及风险的策略。这套策略还应避免纯粹为了改变而改变,因为,采用新技术所带来的不熟悉,反而可能引来人为的漏洞。
目前最热门的 Internet Explorer 替代方案 (以及目前最受推崇的) 是 Google Chrome 和 Mozilla Firefox,但两者并非全无漏洞或零时差漏洞。事实上,如果摊开眼前的一些证据,我们甚至可以说 Internet Explorer 反而是所有浏览器当中问题最不严重的。
2011 年,Google Chrome 的新漏洞通报数量创下新的纪录,达到 275 个,是该浏览器问世以来漏洞数量整体上扬趋势当中的最高点。Mozilla Firefox 目前虽然已从其 2009 年的最高点开始下降,仍然有 97 个已通报漏洞。过去五年来,Microsoft Internet Explorer 在这方面呈现逐渐减少的趋势,而且在 2011 年只出现 45 个新的漏洞,比其他任何浏览器都低 (除了 Apple 的 Safari 同样为 45 个之外)。当然,单就漏洞数量来看并无太大意义,除非我们将严重性也考虑进去,但即使这样,就「三巨头」的数据来看仍旧是 Internet Explorer 占优势。若再将零时差漏洞也考虑进去,那么,情势也没有太大差异:Google Chrome 有 6 个、Microsoft Internet Explorer 有 6 个,而 Mozilla Firefox 则是 4 个。
不过,很单纯的一项事实是,我们太过关注于零时差漏洞 (例如这次的例子),光是听到「零时差漏洞」这个名字,就连一些不甚了解其涵意的人也会胆颤心惊。企业总是很难让所有浏览器都更新到最新的版本 (就连个人使用者亦不例外),更何况可修补的漏洞数量远超过偶尔出现的零时差漏洞。不管情况如何,现在的攻击已开始越来越针对一些跨平台浏览器通用的插件程序,而非浏览器本身,如:QuickTime、Flash 或 Acrobat。不然就是单纯针对浏览器的使用者而设计 (如网络钓鱼、假冒知名网站或其他社会工程攻击手法)。
面对现实吧,您的浏览器本来就无法保障您的安全,不论是谁开发的都一样。您必须采取一些步骤来自我防卫,不论您使用何种浏览器。
每一种浏览器都有其弱点、漏洞与修补程序 (最后一项有可能没有)。每个人有自己合适的选择,针对不同的安全工具和技巧,您需要对浏览器、技术或威胁特性有不同程度的熟悉,才能有效保护自己,又不会让您无法顺利上网。
针对绝大多数的情况,我们最好的建议是继续使用您最熟悉的浏览器,但请采取一些安全措施。若您冒然改用其他您不熟悉的浏览器,反而可能因为不熟悉而让您比之前更不安全。
起身对抗 IE 或许很酷,但是好东西总是会「历久弥新 」。
作者:趋势科技资安专家Rik Ferguson 
