2005年09月22日

Firefoxの脆弱性はIEより多い?

セキュリティ会社のSymantec(シマンテック)が、Firefox等を開発するMozilla系の方が、IEよりも、攻撃に悪用される可能性がある脆弱性が多いという発表を行いました。Mozilla系とは、Firefox、Mozilla、Caminoとなります。

 シマンテック:「Mozillaブラウザの脆弱性、IEを上回る」(CNET Japan)


Firefoxというと「セキュリティ的に優れていて拡張性に富んだタブブラウザ」というイメージがありますよね。それが崩れてガッカリ・・・っていう人も多いんじゃないです?

でも、それが必ずしも、IEよりも悪用されて危ないブラウザとはならないのです。


Moziila系の2005年上半期で25件の脆弱性で、そのうち18件は深刻なレベルに分類されます。それに対し、IEは13件の脆弱性で、そのうち8件は深刻なレベルに分類されます。つまり、FirefoxはIEと比べて倍の脆弱性を持っていた事になります。

但し、上記の数字は「提供元が確認した数」であり、セキュリティ監視会社のSecuniaによると「IEは未対応のセキュリティが19件、Firefoxは3件」とのことです。つまり、未確認・未修正のセキュリティホールが残っている数はIEの方が多いのです。全世界と影響範囲が大きいため、人が見つけたセキュリティ・ホールを「はい、わかりました」と無条件で受け取って調べもせずに公表は無責任ですので、仕方ないとも言えますが・・・多いですね!


実際にセキュリティ的に危険という意味では、私が何度か挙げているシェアの問題があります。

それに関して「Operaの導入とブラウザ能力の比較」で書きましたが、ウイルスやスパイウェア等を作る人達は、昔は腕試し・売名行為・愉快犯がメインだったのですが、今は営利目的が増えています。もし、営利目的であれば対象が多い方がいいに決まっています。05年07月のシェアの差は、IEはFirefoxの約11倍でした。それだけシェアに差があれば、IEをより研究してくるのは道理だと言えます。そして、見つけたセキュリティ・ホールにこぞって罠をしかけます。特に、IEはWindowsに標準で入っているため、無防備な初心者が使っている可能性は他よりも各段に高いので、犯人にとっては美味しい事この上なし!

「シェアが大きいほど狙われやすく、危険に晒されやすい」という公式が成り立つのです。


と、いうわけで、Firefoxは安全とは言い切れませんが、危険には遭いにくいというのが私の考えです。


それもこれも、全ては「そのソフトが最新版であれば」です。いくらFirefoxが危険に遭いにくいとはいえ、古いのを使っていれば、当然危ないのです。

Firefox日本語版の最新は1.0.6。 英語版は1.0.7と9月21日に英語版のみリリースされました。つまり、もうすぐアップデートされます。まだ日本語版は用意されていませんが、私が確認した時点で、1.0.7のリリースノートは準備されていました。もうすぐ発表されると思いますが、FTPサイトでは既に日本語版がアップされていました。


同じく、独自のブラウザであるOpera日本語版の最新版は8.50。先日、ブラウザの常時表示の広告が表示されないようになりました。その時にも複数のセキュリティ・ホールが修正されました (IT Pro)。広告無しになっただけじゃないので、素直にバージョンアップしましょう!


また、Donut系、Sleipnir2、Lunascape3等、Windowsの大半のブラウザはIE系に属します。これは、画面表示にIEコンポーネントという物を使っているからです。つまり、IEが危ないと言えばこれらも危ないのです。ですので、IEを最新版にするためにも、Windows Updateは欠かさずに行いましょう!
この記事へのコメント
OperaのTB、ありがとうございました。
IEで最も問題なのは、OSの一部として取り込まれてしまっていることだと考えています。
多分、IEのシェア獲得の手段として、強制的に抱き合わせる口実の一つなのでしょうが、比較的優先度の低いセキュリティホールでも、重大な問題に発展しそうな気がします。
Firefoxの場合、その点ではまだマシな気がします。
話は変わるのですが・・・9/19のWRC、トヨタのイベントに執心してて見忘れましたorz
Posted by AR1 at 2005年09月22日 22:14
AR1さん、こんばんわ〜♪
あの2000GTの写真のイベントが19日だったんですか〜。ところで、明日の23日がWRC R.12の放送ですよ〜!

IEの融合当時から、かなり危惧されていましたけど・・・ホントにダメでしたね。その分、起動が早い(ように見える)とか便利なのは認めますけど。。。やっぱり危険が多いのは頂けないですよね〜!
Posted by 藍旋 at 2005年09月22日 23:04
WRCの情報、ありがとうございました。途中からですけど見れました。
正午辺りから放送されるようになってから、ほぼノーマークになってしまっていて・・・本当に感謝します。
今回のグレートブリテン、マルコ・マーティンのコ・ドラが亡くなってしまったんですね・・・
ここのところ、レース中の事故はあまり耳にしていなかっただけに、モータースポーツの危険性を再確認する結果となりました。
それと・・・今夜、トヨタのイベントの最終回をアップします。
目玉はトヨタ・7とTS020です。あまり上手く撮れた気はしないんですが・・・
Posted by AR1 at 2005年09月23日 18:36
AR1さん、こんばんわ〜♪
悲しい事故でしたが、WRC程のモータースポーツでも20年近く死亡事故がなかったんですよね。彼の死をムダにしないようにさらに安全対策が進んで欲しいです。。。
トヨター7ですか!なつかし映像でしか見た事ないです。楽しみに見に行きますよ〜♪
Posted by 藍旋 at 2005年09月23日 23:29
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※半角英数字のみのコメントは投稿できません。
この記事へのトラックバックURL

※半角英数字のみのトラックバックは受信されません。

この記事へのトラックバック

Mozillaブラウザの脆弱性の数
Excerpt: シマンテック:「Mozillaブラウザの脆弱性、IEを上回る」 - CNET Japan うん,たぶん事実でしょうね。 危険性と脆弱性の数は必ずしもイコールではありませんが。 セキュリティを理由にIE..
Weblog: Kyan's BLOG II
Tracked: 2005-09-22 14:19

MozillaはIEよりも危険?
Excerpt:  今まで安全だと思ってFirefoxなどを使ってきた人たちにとってはショッキングな記事です。
Weblog: 新聞記事・ニュース批評@ブログ
Tracked: 2005-09-22 17:23

Firefoxが複数のセキュリティホールを修正
Excerpt: 米国時間9月21日に公開した、Firefox 1.0.7正式版は複数のセキュリティホールを修正。
Weblog: One And Only
Tracked: 2005-09-22 18:41

Firefox 1.0.7 日本語版公開!!
Excerpt: そろそろFirefox 1.0.7 日本語版が来るだろうと予想してたら案の定来ました!! 今回のバージョンには、既に報じられているバッファオーバーフローやLinuxシェルコマンドの脆弱性の修正を始め..
Weblog: ぬるいSEの生態
Tracked: 2005-09-23 15:27
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。