Relatório detalhado da vulnerabilidade do Firefox 1.x e do IE 6.x: afinal, qual é o mais seguro?
Uma das notícias mais comentadas e debatidas no BR-Linux na semana passada foi a com o título 'IE é mais seguro que Firefox, diz Symantec - mas a Info faz ressalvas...'. Pois bem, em seu blog na ZDNet, George Ou publicou o que ele denominou 'Detailed Firefox and IE vulnerability report'. Usando dados da Secunia, ele apresenta e comenta uma tabela comparando o surgimento ou descoberta, mês a mês, das falhas de segurança do Firefox 1.x e do IE 6, sua gravidade e a correção das falhas. A dita tabela mostra porquê a Symantec teria dito o que disse. O número de falhas no Firefox descobertas entre agosto de 2004 e setembro de 2005 é maior, 49 de extremas a moderadas. O IE apresentou 34 no mesmo período, 35 se considerada uma não corrigida, herdada de um período anterior. Porém, somente uma, encontrada no Firefox, foi considerada como gravíssima e todas falhas foram corrigidas.
Já quanto ao IE, 14 falhas foram consideradas gravíssimas, além de que 1 alta e 5 moderadas não foram corrigidas. A tabela mostra também que a evolução ou o sugimento dessas falhas cresceu proporcionalmente mais no Firefox que no IE, o que poderia sugerir que IE estaria mais maduro. Entretanto, das 6 falhas ditas moderadas no IE, apenas uma foi corrigida, além de uma de alto risco ainda aguardar sua correção Minha conclusão? Bem, se você manter o seu IE atualizado, ainda terá problemas. Se manter o seu Firefox atualizado, não. E, mantendo-se a mesma tendência, recomenda-se o Firefox, pois mesmo que o número de falhas seja maior e estas estejam surgindo em maior número recentemente, a sua correção é mais rápida e garantida. Ponto para o modelo do SL.” A nota foi enviada por stpa, que acrescentou este link da fonte para maiores detalhes.
(postado por Augusto Campos)
Comentários dos leitores
Comentário de StanStyle
28/09/05 14:24 - usuário registrado #35
IE 6.x: O Internet Explorer deveria ser mais maduro e muito menos 'bugado' que o Firefox, já que o tempo de release do IE 6 foi a anos atrás mas, mesmo assim, continuam a surgir mais e mais vunerabilidades e falhas.
O mesmo ocorre quando tentando comparar uma distro Linux e o Windows.
O Windows XP foi lançado em 2001/2002, correto? Só seria então justificável comparar uma distro com a mesma maturidade do XP, certo?
Mas, qual distro chega a ser tão depreciada quanto o Windows é hoje? Nem o Debian chega a esse extremo.
De fato, em apenas 6 meses de desenvolvimento, mudando não só o sistema (Kernel&módulos) mas todas as aplicações para novas versões (como as DEs), uma distro Linux consegue ser MUITO mais estável, funcional e segura do que um Windows lançado à 4 anos.
O mesmo ocorre quando tentando comparar uma distro Linux e o Windows.
O Windows XP foi lançado em 2001/2002, correto? Só seria então justificável comparar uma distro com a mesma maturidade do XP, certo?
Mas, qual distro chega a ser tão depreciada quanto o Windows é hoje? Nem o Debian chega a esse extremo.
De fato, em apenas 6 meses de desenvolvimento, mudando não só o sistema (Kernel&módulos) mas todas as aplicações para novas versões (como as DEs), uma distro Linux consegue ser MUITO mais estável, funcional e segura do que um Windows lançado à 4 anos.
Comentário de Gustavo Bittencourt
28/09/05 15:04 - usuário registrado #538
Augusto,: Augusto,
Sugiro que o link para a notícia "Detailed Firefox and IE vulnerability report" seja corrigido para a URL abaixo, pois link atual aponta para página principal do blog e não diretamente para a notícia.
http://blogs.zdnet.com/Ou/?p=108
Sugiro que o link para a notícia "Detailed Firefox and IE vulnerability report" seja corrigido para a URL abaixo, pois link atual aponta para página principal do blog e não diretamente para a notícia.
http://blogs.zdnet.com/Ou/?p=108
Comentário de Henrique Vicente.
28/09/05 15:42
Pequeno detalhe... quanto mai: Pequeno detalhe... quanto mais tempo se passa menos bugs são encontrados no IE por unidade de tempo... então, claro que vão estar achando menos bugs no IE hoje em dia, afinal, qual foi o último release? Boa parte dos bugs já são conhecidos a séculos :P
Comentário de nemesis
28/09/05 16:05 - usuário registrado #1514
obsolescência: "quanto mais tempo se passa menos bugs"
Isso geralmente acontece com software obsoleto e sem avanços em recursos, como o IE6. software em constante evolução sempre está repleto de bugs. é como espinhas em adolescentes...
vamos ver quando o IE7 chegar... não que vá ser essas coisas todas...
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Isso geralmente acontece com software obsoleto e sem avanços em recursos, como o IE6. software em constante evolução sempre está repleto de bugs. é como espinhas em adolescentes...
vamos ver quando o IE7 chegar... não que vá ser essas coisas todas...
;; ((lambda (x) x) "Isto é um comentário e não será executado nunca")
Comentário de tfpsky
28/09/05 16:33 - usuário registrado #2897
Quando o IE7 chegar...: não vai ter pra ninguém na briga: o IE vai ganhar fácil (no número de bugs e falhas críticas de segurança)
:D
:D
Comentário de Just Stoned!
28/09/05 16:36
O lucro move o mundo!: Estudo da Symantec?
O quê poderíamos esperar de uma empresa que lucra mais com versões
para o usuário final do que para o mercado corporativo!
Lucram tanto com o mercado pessoal que até atraíram a atenção da M$!
Olhando este relatório financeiro da Symantec, Quarterly Earnings Summary (http://media.corporate-ir.net/media_files/irol/89/89422/pdf/1Q05_Jul2005_Rev_Biz_SegmentRev.pdf), podemos perceber que o rendimento financeiro da mesma até junho de 2005, no segmento de produtos pessoais foi de ~ $357 milhões contra $266 milhões no segmento de segurança corporativa...
E lendo o
Symantec's Fiscal First Quarter 2006 Summary (http://media.corporate-ir.net/media_files/irol/89/89422/pdf/1Q06_Jun05_Summary.pdf), tu podemos obter mais informações sobre a performance das várias áreas da empresa nos vários segmentos onde ela atua e verificar QUANTO ELA FATUROU NO PRIMEIROS QUATRO MESES DO ANO FISCAL 2006 (Ou seja, 2005)!
O quê poderíamos esperar de uma empresa que lucra mais com versões
para o usuário final do que para o mercado corporativo!
Lucram tanto com o mercado pessoal que até atraíram a atenção da M$!
Olhando este relatório financeiro da Symantec, Quarterly Earnings Summary (http://media.corporate-ir.net/media_files/irol/89/89422/pdf/1Q05_Jul2005_Rev_Biz_SegmentRev.pdf), podemos perceber que o rendimento financeiro da mesma até junho de 2005, no segmento de produtos pessoais foi de ~ $357 milhões contra $266 milhões no segmento de segurança corporativa...
E lendo o
Symantec's Fiscal First Quarter 2006 Summary (http://media.corporate-ir.net/media_files/irol/89/89422/pdf/1Q06_Jun05_Summary.pdf), tu podemos obter mais informações sobre a performance das várias áreas da empresa nos vários segmentos onde ela atua e verificar QUANTO ELA FATUROU NO PRIMEIROS QUATRO MESES DO ANO FISCAL 2006 (Ou seja, 2005)!
Comentário de ferdam
28/09/05 16:44 - usuário registrado #236
A estrategia é outra !: A grande estrategia do FUD é, lancar uma noticia que saia estampada nos principais meios de comunicacao, enquanto a retratacao ou a verdade, apenas em pequenas notas, sem grande divulgacao (nao estou querendo dizer que a BR-Linux e afins, tenham menos ou mais penetracao ou audiencia que aqueles outros meios).
O problema é que eu ouvi no trabalho "Voce viu o que Symantec disse do Firefox ?", mas nao ouvi "Ah! o George retificou a nota da Symantec"
O FUD ficou em evidencia, a verdade nao.
Se sai na 1a pagina da Folha ou do Estadao, ou na manchete do JN que Fulano come criancinhas e alguns dias depois uma pequena nota reparatoria, dizendo que na verdade Fulano comia baby-beaf, fatalmente a vida de Fulano ja estaria acabada.
O que os desenvolvedores de SL nunca poderao deixar de fazer, é serem ageis na correcao dos problemas, principalmente os de seguranca, ja que no caso do software proprietario, é o mesmo que ter que manobrar uma Scania numa vila.
Abraços,
Fernando
Gentoo Jackass Toolkit Project 2005.0
O problema é que eu ouvi no trabalho "Voce viu o que Symantec disse do Firefox ?", mas nao ouvi "Ah! o George retificou a nota da Symantec"
O FUD ficou em evidencia, a verdade nao.
Se sai na 1a pagina da Folha ou do Estadao, ou na manchete do JN que Fulano come criancinhas e alguns dias depois uma pequena nota reparatoria, dizendo que na verdade Fulano comia baby-beaf, fatalmente a vida de Fulano ja estaria acabada.
O que os desenvolvedores de SL nunca poderao deixar de fazer, é serem ageis na correcao dos problemas, principalmente os de seguranca, ja que no caso do software proprietario, é o mesmo que ter que manobrar uma Scania numa vila.
Abraços,
Fernando
Gentoo Jackass Toolkit Project 2005.0
Comentário de bebeto_maya
29/09/05 1:50
Então se esse é o argumento: Então se esse é o argumento que faz do FUD uma ferramente covarde, porém extremamente funcional, cabe-nos, ao ouvir os comentários das pessoas, corrigir com algo do tipo: ¨Epa! As falhas do Firefox são menos críticas, além de tudo o Internet Explorer 6.0 é um software de 4 anos que ainda apresenta mais de 35 falhas mensais!¨.
Não podemos mais ser moderados, porque nossos adversários querem nossa pele, custe o que custar!
Não podemos mais ser moderados, porque nossos adversários querem nossa pele, custe o que custar!
Comentário de stpa
29/09/05 4:46 - usuário registrado #1329
Boato e notícia: "Mozilla Web browsers are potentially more vulnerable to attack than Microsoft's Internet Explorer, according to a Symantec report". Esse era o subtítulo da notícia na ZDNet. Note que a frase inclui o advérbio "potentially". Se retirarmos o "potencialmente" da frase, ela passa a significar algo muito diferente. O mesmo ocorre com o "beaf" do baby. Na Info Online, o "potencialmente" não aparece. Lendo o artigo da ZDNet, parece-me que o "potencialmente" está, ou explícito, ou implícito no relatório da Symantec. Não li o dito relatório; não estava disposto a preencher o formulário no site da Symantec para poder descarregá-lo. Caso o "potencialmente" esteja, impícito ou explícito, no tal relatório, a Symantec está correta, pois existe um maior número de falhas no Firefox no semestre e é razoável supor que outras surjam à medida em que o Firefox fique mais popular e mais apetitoso para os malfeitores cibernéticos. O usuário que mantém o seu Firefox atualizado diminui, "potencialmente", a sua vulnerabilidade. Quem não o faz, não. Fica "potencialmente" mais vulnerável.
Concluo que a frase lá em cima, a com o advérbio "potencialmente", é a notícia. Uma que o omita é, potencialmente, um boato. Um boato que pode até, potencialmente, incluir a idéia do relatório da Symantec como sendo tendencioso. Só lendo o dito para confirmar isso. Apesar de que pode-se concordar com que para a Symantec seja, potencialmente, mais interessante produtos de terceiros inseguros e, portanto, dependentes dos seus serviço de segurança. Potencialmente, é claro.
P.S. Antes que alguém me pergunte, o meu Firefox está atualizadozinho.
Concluo que a frase lá em cima, a com o advérbio "potencialmente", é a notícia. Uma que o omita é, potencialmente, um boato. Um boato que pode até, potencialmente, incluir a idéia do relatório da Symantec como sendo tendencioso. Só lendo o dito para confirmar isso. Apesar de que pode-se concordar com que para a Symantec seja, potencialmente, mais interessante produtos de terceiros inseguros e, portanto, dependentes dos seus serviço de segurança. Potencialmente, é claro.
P.S. Antes que alguém me pergunte, o meu Firefox está atualizadozinho.
Comentário de Manoel Pinho
29/09/05 20:28 - usuário registrado #8
Opera: Lembre apenas que o Opera não é SL. Imagine se não houvesse o Firefox ou nenhum outro navegador livre. Você acha que o Opera seria freeware ? E se o navegador Opera fosse o dominante em vez do IE ?
O Opera é muito bom e é multiplataforma. Ponto para ele e isso o torna mais desejável que o IE, mas para mim e quem preza pela liberdade não é suficiente.
O Opera é muito bom e é multiplataforma. Ponto para ele e isso o torna mais desejável que o IE, mas para mim e quem preza pela liberdade não é suficiente.
Comentário de domus
30/09/05 6:57
O tema do link abaixo se enca: O tema do link abaixo se encaixa perfeitmante, contra aqueles que gostam de fazer fud
More advisories, more security
http://www.theregister.co.uk/2005/02/15/more_advisories_more_security/
More advisories, more security
http://www.theregister.co.uk/2005/02/15/more_advisories_more_security/
Comentário de André Moreira
30/09/05 8:50
Não se pode confiar: Já viu que não se pode mais confiar em pesquisas da Symantec.
Comentário de Roger de Almeida
30/09/05 12:49
A comunidade poderia se unir: A comunidade poderia se unir mais em torno dos navegadores livres, detectando num esforço concentrado, os potenciais pontos de vulnerabilidades. Isso ajudaria em muito a equipe do Mozilla.
Um outro fato, nada a ver com o tema mas chama a atenção, é o problema do propagandas em flash, que sobrepõe o conteúdo deixando um branco no local ou as vezes nem tem como fechá-las. Há muitas reclamações de usuários neste sentido e não há um esclarecimento nos sítios que envolvem o desenvolvimento do Firefox e de outros navegadores, como o konqueror.
Este problema não é exclusivo no GNU/Linux, acontece também com o Firefox para windows.
Muitos usuários não estão pensando em segurança, se fosse assim, abandonariam de imediato o Internet Explorer. No entanto, é a navegabilidade que está acima dos problemas de vulnerabilidades. Usuário quer navegar, ver as páginas, entrar em chats, locais proíbidos, ler notícias e etc (Alguém consegue ler notícias do JB quando a propaganda em flash cobre parte da página??). Apenas pessoas mais informadas, se preocupam com segurança.
[]
Roger
Um outro fato, nada a ver com o tema mas chama a atenção, é o problema do propagandas em flash, que sobrepõe o conteúdo deixando um branco no local ou as vezes nem tem como fechá-las. Há muitas reclamações de usuários neste sentido e não há um esclarecimento nos sítios que envolvem o desenvolvimento do Firefox e de outros navegadores, como o konqueror.
Este problema não é exclusivo no GNU/Linux, acontece também com o Firefox para windows.
Muitos usuários não estão pensando em segurança, se fosse assim, abandonariam de imediato o Internet Explorer. No entanto, é a navegabilidade que está acima dos problemas de vulnerabilidades. Usuário quer navegar, ver as páginas, entrar em chats, locais proíbidos, ler notícias e etc (Alguém consegue ler notícias do JB quando a propaganda em flash cobre parte da página??). Apenas pessoas mais informadas, se preocupam com segurança.
[]
Roger
Ainda sobre as atualizações do Firefox: gostaria de saber como elas são realizadas no Debian. Sei que apenas correções de segurança são lançadas mantendo a versão dos aplicativos, de acordo com a política de segurança e atualizações Debian, porém, estou interessado em saber em quanto tempo essas atualizações são lançadas já que não basta o time do Firefox desenvolvê-las sem que as distribuições também atualizem rapidamente os devidos softwares.
Abraço a todos, parabéns pela ótima pesquisa!
A Física é tão subjetiva quanto qualquer outra empresa humana.
Albert Einstein