Firefox มีรายงานช่องโหว่มากที่สุดในปีที่แล้ว

By pawinpawin

on 16 April 2009 - 04:33 Tag: Security, Firefox, Browser

Security

คงต้องยอมรับว่าปัจจุบัน Firefox นั้นก็ได้รับความนิยมแพร่หลายมากขึ้น แต่ก็คงต้องยอมรับว่าคนใช้ที่มากขึ้นก็ย่อมจะมีการพบช่องโหว่ของซอฟต์แวร์มากขึ้นเช่นกัน

มีรายงานที่จัดทำขึ้นโดยบริษัทด้านความปลอดภัยชื่อ Secunia (รายงานฉบับ PDF) ซึ่งได้วิเคราะห์ถึงช่องโหว่ในซอฟต์แวร์ประเภทเบราเซอร์ยอดนิยมสี่ตัวคือ Firefox, Opera, Safari และ Internet Explorer ผลปรากฎว่าในปี 2008 ที่ผ่านมานั้น Firefox มีช่องโหว่ถึง 115 จุด ในขณะที่ Opera, IE และ Safari มีเพียง 30, 31 และ 32 จุดตามลำดับ อย่างไรก็ตามพบว่าเมื่อดูจำนวนวันที่ใช้ในการออกแพตช์มาแก้ช่องโหว่ที่เป็นที่รู้กันทั่วไปแล้ว Firefox นั้นยังน่าใช้อยู่เพราะได้แก้ไขเร็วกว่า ส่วน IE นั้นบางอันก็ยังไม่ได้แก้จนหมดปี!

สำหรับปลั๊กอินของเบราเซอร์แต่ละตัวนั้นพบว่า ActiveX นั้นมีช่องโหว่ถึง 366 รายการในขณะที่ Java มี 54 จุด, QuickTime 19 จุด, Flash 30 จุด, Firefox Extension มีเพียงจุดเดียว และ Widget ของ Opera นั้นไม่มีเลย (เพราะไม่มีคนใช้หรือเปล่านะ)

ที่มา: Secunia 2008 Report via Computerworld Blog

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Next Innovation (Thailand) Co., Ltd.

We are web design with consulting & engineering services driven the future stronger and flexibility.

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

Kiatnakin Phatra Financial Group

Financial Service

Fastwork Technologies

Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน

Thoughtworks Thailand

Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

CLEVERSE

Cleverse is a Venture Builder. Our team builds several tech companies.

Nipa Cloud

#1 OpenStack cloud provider in Thailand with our own data center and software platform.

Bangmod Enterprise

The leader in Cloud Server and Hosting in Thailand.

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

MuvMi (Urban Mobility Tech Co.,Ltd.)

Shape the future of urban mobility towards affordable, clean, and safe solutions

T.N. Digital Solution Co., Ltd.

TNDS has been involving in every first move of banking’s major digital transformation.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Siam Commercial Bank Public Company Limited

"Let's start a brighter career future together"

Icon Framework co.,Ltd.

Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก

REFINITIV

The Financial and Risk business of Thomson Reuters is now Refinitiv

H LAB

Re-engineering healthcare systems through intelligent platforms and system design.

The Gang Technology Co., Ltd.

We're a Digital Agency that helps our customers transform their business into digital with ease.

LTMH

LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย

Seven Peaks

We Drive Digital Transformation

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

ปัญหาอย่า

ABZee Thu, 16/04/2009 - 05:35

ปัญหาอย่างหนึ่งคือผู้ใช้ส่วนมากนั้นไม่ได้ทำการอัพเดททันทีเมื่อมีการแก้ไขช่องโหว่

ตัวอย่างที่เห็นได้ชัดคือข้อบกพร่องของ OpenSSL เมื่อกลางปี 2008 ที่ทำให้คีย์ที่ถูกสร้างขึ้นมานั้นโดนถอดรหัสได้ง่าย และเป็นเป้าโจมตีของเหล่าผู้ไม่ประสงค์ดีในสมัยนั้น ซึ่งผู้ใช้หลายๆคนก็ไม่ได้ทำการอัพเดทและแก้ไขทันทีเลยก่อให้เกิดปัญหา

ความเร็วในการแก้ไขช่องโหว่นั้นเป็นสิ่งที่ดี แต่คงไม่สามารถนำมาหักล้างกับจำนวนช่องโหว่ที่สูงมากได้ ผมคิดว่าไฟร์ฟอกซ์ยังคงต้องแก้ไขในจุดนี้อีกมาก

ปล. ผมก็ไม่เคยได้ยินมาก่อนเลยว่ามีคนใช้ Widget ใน Opera แฮะ

LongSpine.com

ความเร็วใ

coloragent Thu, 16/04/2009 - 05:39

+1 ครับ

แต่ก็ต้องชมนะครับ ถึงจะมีเยอะ แต่ก็รีบออกตัวมาแก้อย่างรวดเร็ว ต่างกับ ie ที่ปล่อยรูโหว่นั้นไว้

เห็นด้วยก

-Rookies- Thu, 16/04/2009 - 15:40

เห็นด้วยกับทั้งสองท่านครับ

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

คนที่ผมรู

plynoi Thu, 16/04/2009 - 08:20

คนที่ผมรู้จักจำนวนมาก ไม่เคย update antivirus (บอกว่าไม่รู้จะ up ไปทำไม) คนที่ใช้ firefox ก็ไม่เคย update (บอกว่ากลัว extension เข้ากันไม่ได้)

ผมใช้นะคร

jirayu Thu, 16/04/2009 - 10:44

ผมใช้นะครับ Opera Widgets เนี่ย แต่ได้ใช้ไม่กี่ตัว มี Twitter กับ Screen Ruler แค่นั้นเอง

I am Mr.Whisper

เจอตัวแล้

ABZee Thu, 16/04/2009 - 17:44

เจอตัวแล้ว!!

LongSpine.com

MrWhisper

coloragent Thu, 16/04/2009 - 20:09

MrWhisper นี่ใช้แต่ของที่คนอื่นไม่ค่อยได้ใช้กัเยอะดีนะครับ มีแนวทางของตัวเองดีจังครับ น่าชื่นชม :)

เรื่องของ

jirayu Thu, 16/04/2009 - 21:41

เรื่องของเรื่องคือผมเปิด Opera ตลอด แล้วก็ขี้เกียจหา 3rd Party มาใช้ Desktop Client ของ Twitter นี่เจอแต่ Adobe Air อ่ะ ส่วน Screen Ruler พูดตรงๆว่าขี้เกียจหาโปรแกรม - -"

ปล.ผมผ่าเหล่าตั้งแต่เบราเซอร์แล้วครับ โอเปร่าคนใช้ค่อนข้างน้อย

I am Mr.Whisper

มีวิธีทำใ

polaromonas Fri, 17/04/2009 - 02:24

มีวิธีทำให้ Widgets มันรันขึ้นมาเองทุกครั้งที่เปิดเบราเซ่อร์มั๊ยครับ ตอนแรกผมก็ใช้ Twitter widgets เหมือนกัน ไปๆมาๆ ขี้เกียจกด Widgets แล้วสั่งให้มันเปิด เลยแอบนอกใจไปใช้ Twhirl เลยช่วงนี้

ตอนปิดเบร

jirayu Fri, 17/04/2009 - 09:42

ตอนปิดเบราเซอร์ไม่ต้องปิดวิดเจ็ตครับ พอเปิดโอเปร่าขึ้นมา วิดเจ็ตก็จะเปิดขึ้นมาเลย

กล่าวคือเปิดวิดเจ็ตไว้ตลอดนั่นแหละ

I am Mr.Whisper

ผมก็ใช้ screen

mossila Fri, 17/04/2009 - 12:52

ผมก็ใช้ screen ruler แล้วก็ใช้เกมส์บางตัวของมันด้วย มันสวยดีนะ (แม้จะไม่ได้เกี่ยวกับ browser เลยก็ตาม เหมือนเป็น app อีกตัวเลย widget แต่ละอย่าง)

Moss 's blog

เจอเยอะ

tr Thu, 16/04/2009 - 05:55

เจอเยอะ แก้เยอะ ดีครับ

เจอปัญหาเ

emptyzpace Thu, 16/04/2009 - 09:16

เจอปัญหาเดียวคือซดแรมหนัก

+100

doctorking Thu, 16/04/2009 - 12:53

+100 ปัญหาหลักของจิ้งจอกไฟเลย

อยากทำอะไรก็ทำไปเหอะ เวลาไม่เคยคอยใคร

ปัญหาของ XUL

Nozomi Fri, 17/04/2009 - 08:30

ปัญหาของ XUL based application ไม่ใช่แค่ ซดแรมหรอกครับ

ขนาดตัว code โปรแกรมจริงๆ อาจจะไม่ใหญ่มาก แต่พอต้องจับยัด XUL Runner ลงไป ทำให้ไม่ว่าโปรแกรมจะเล็กแค่ไหน ก็ต้ิองมีขนาดเท่ากับ XULCode + XUL Runner ซึ่งมีขนาด 18+ Mb

ถ้าเขียน Application เล็กๆแบบ เครื่องคิดเลข แล้วขนาด 18 Mb ผมว่าไม่น้อยนะ

แถมถ้าลง FF / TB ก็แยกการใช้ XULRunner จากกัน (ซึ่งต่างกับ Seamonkey ซึ่งดึงมาจากตัวเดียวกัน) ... ซ้ำซ้อนมากทีเดียว เหอะๆ

เปลี่ยนไป

khajochi Fri, 17/04/2009 - 14:56

เปลี่ยนไปใช่ Chrome

---
Khajochi Blog : It's not a Bug ... It's a Feature

เปลี่ยนไป

jirayu Fri, 17/04/2009 - 15:20

เปลี่ยนไปใช้ Opera :D

I am Mr.Whisper

มีช่องแล้

audy Thu, 16/04/2009 - 09:29

มีช่องแล้วหาเจอ ดีกว่ามีแล้วหาไม่เจอครับ

ข้อโต้แย้

chalet16 Thu, 16/04/2009 - 10:31

ข้อโต้แย้งจาก Firefox Security Team ครับ

"
Security metrics are very difficult to do well, and easy to do poorly. For example, take a look at the recent Secunia “2008 Report” (http://secunia.com/gfx/Secunia2008Report.pdf). It tries to break down vulnerabilities reported by browser, and specifically states:

31 vulnerabilities were reported for Internet Explorer (IE 5.x, 6.x, and 7), including those
publicly disclosed prior to vendor patch as well as those included in Microsoft Security
Bulletins.

Safari and Opera each had 32 and 30 vulnerabilities, whereas 115 vulnerabilities were registered for Firefox in 2008.

From a quick read it appears as though Firefox had almost 4 times as many security issues as IE or Safari! Like, OMG! However, that conclusion would be painfully incorrect. Mozilla discloses and releases bulletins for all security issues fixed in Firefox, regardless of how they were discovered. Unlike other vendors that only disclose issues reported by external independent parties, but not by internal developers, QA or security contractors.

So presenting those numbers as comparable is worse than useless, it is in fact very misleading. It’s like comparing traffic accident rates for two cities of equal size, but one only reports accidents that make the news while the other reports all traffic accidents. Directly comparing such numbers is meaningless.

Some vendors make the point that the number of internally found issues is small and not meaningful. That would unfortunately imply their internal testing and security processes are incapable of finding security issues, and rely entirely on the generosity of random strangers (security researchers). I would find that pretty scary.

Fortunately, having worked in-house and consulted to a number of large software vendors, I can assure you that is not true. In fact they generally have very capable security teams and QA processes, which are so good at finding security issues that they usually find far more internally than they ever disclose to the public.

The Secunia report is deeply disappointing on a number of levels. Frankly, it’s disappointing that security researchers aren’t taking the “research” part of their jobs as seriously as they once did. It’s also disappointing that Secunia would publish something like this as one really expects better from them. This sort of reporting only encourages companies to hide as many security issues and fixes as possible, which moves the state of security backwards. And this is perhaps the most disappointing thing of all.

Lucas Adamski
Director of Security Engineering
"

จาก
http://blog.mozilla.com/security/2009/03/06/beware-the-security-metric/