Secunia 2007レポートに見るウェブブラウザのセキュリティ

原文:Secunia 2007 report on web browsers security by Percy Cabello -- January 17, 2008

ソフトウェアセキュリティ調査会社 Secunia が先日、過去1年間のソフトウェアセキュリティの状況をまとめた2007年版の報告書を発行しました。しかしながら、報告書はセキュリティ会社の常であり要領を得ません。

ウェブブラウザセクションで報告されている統計によると、Firefox は最も多い64個の脆弱性が報告されており、次が Internet Explorer の43個、Opera と Safari がそれぞれ14個です。

より詳細に見ると、Secunia はまた、Firefox は公開済みの8件のセキュリティバグに対して3件が未修正であるのに対して、Internet Explorer は公開済みの10件の脆弱性に対して7件が未修正であると述べています。危険にさらされた期間で見ると、公開された IE の脆弱性は平均で173日間未修正であったのに対して、Firefox では88日であり、決して誇れるものではありませんが、かなり優位に立っています。

さらに、特定の脆弱性が攻撃者に利用された場合、重要度もしくはユーザにとってどれだけ影響があるかという尺度があります。現状の攻撃リスクを数値化するために、私は Secunia が報告書で使用しているう各セキュリティレベル（none, less, moderately, highly critical）に対して1,2,4,16という「セキュリティポイント」を割り振ってみました。そしてそれをバグが未修正であった日数に掛けて、2007年を通じて各ブラウザがどれだけ危険にさらされていたかを見積もりました。

この試行では、Firefox は876リスクポイントで、Internet Explorer の2,684よりはるかに小さいものでした。これはブラウザのリスクを表す正確な尺度でしょうか? たぶんそうではないでしょう。というのも私は Highly critical バグを moderately critical の4倍高いリスクとしましたが、これはもちろん適当な値です。Secunia のようにリスク情報により近い立場にいるセキュリティ会社がこれを定量化し、標準的なソフトウェア指標を設定することにより業界をリードしていくことを望んでいます。

ブラウザのプラグインに関する脆弱性では、ActiveX（Internet Explorer のみ）が339個と飛びぬけており、次が QuickTime の35個、Java が21個、Flash が12個、拡張機能（Firefox のみ）が6個、Widget（これは Opera のみと思われます）が3個です。

報告書によると、ActiveX への攻撃数は、1ヶ月に渡って毎日 ActiveX のセキュリティ問題を報告したブログ ActiveX バグ月間 の影響で急上昇しました。

詳細は Secunia 2007 Report の本文を参照してください。