Le vulnerabilità di IE e Firefox

Mozilla ha rilasciato Firefox 1.0 nel novembre del 2004 seguito dalla versione 1.5 e 2.0, Microsoft ha invece rilasciato Internet Explorer 6 nell’agosto del 2001 seguito da IE7 per Windows XP SP2 nell’ottobre del 2006. Oramai ognuno dei citati programmi possiede la sua storia e la sua identità; tralasciando per un attimo la disputa su quale programma sia il migliore in senso generale, è il momento di fare il punto sulla situazione dei due browser, concentrandosi in particolare sul versante della sicurezza. Secondo Microsoft, Internet Explorer 7 sarebbe più sicuro di Firefox in quanto nel suo browser sono state corrette meno falle relative alla sicurezza rispetto a quanto è accaduto con il programma della volpe. La dichiarazione si basa sui risultati di una ricerca pubblicata da Jeff Jones (pdf), Security Strategy Director all’interno del gruppo Trustworthy Computing di Microsoft.

Prendendo in esame la pubblicazione di Jones, Mozilla ha corretto sinora 199 vulnerabilità insite in Firefox, delle quali 75 giudicate “high critical”, 100 “medium critical” e 24 “low critical”. Nello steso arco di tempo invece Microsoft ha corretto 87 vulnerabilità in Internet Explorer, di cui 54 altamente critiche, 28 mediamente critiche e 5 con un livello di criticità basso. Diversa inoltre la politica delle due società per quanto riguarda il supporto alle precedenti versioni dei loro browser: Mozilla apporta patch correttive ai suoi prodotti solamente per 6 mesi dall’introduzione della versione successiva mentre la società di Gates continua supportare il suo browser per l’intero suo ciclo di vita, attualmente stimato in 10 anni (ad esempio, viene ancora supportato IE5.01 SP4 per Windows 2000). La scelta di Microsoft permetterebbe quindi di garantire un certo margine di sicurezza anche a coloro i quali non vogliono o non possono aggiornare il loro sistema. Per quanto riguarda invece l’adozione delle nuove versione dei due browser, vengono identificate due tipologie di utenti: coloro i quali aggiornano il loro software immediatamente e coloro i quali aspettano il più a lungo possibile. Secondo Jones, chi ha aggiornato Firefox in tempi rapidi ha avuto un margine di sicurezza in più minimale (0,5%) rispetto a chi ha invece atteso sino all’ultimo momento. Diverso invece in discorso per quanto riguarda IE, la cui differenza è stimata attorno all’8%.

«Se in America i dentisti curano più denti che in Africa, non significa che i nostri denti siano messi peggio di quelli degli africani», è la ironica risposta di Mike Shaver, chief evangelist per Mozilla. Di diverso parere invece il post pubblicato sul blog di Internet Explorer per mano di Tony Chor: sono 300 milioni gli utilizzatori di IE7, rendendolo il programma per la navigazione su Internet più diffuso dopo IE6. Secondo Shaver inoltre IE7 risulta il browser più sicuro mai realizzato in casa Redmond e, in accordo con quanto pubblicato da Jones, «IE7 ha meno vulnerabilità rispetto alle precedenti versioni di IE nel corso dello stesso arco di tempo. Inoltre, il rapporto mostra come IE possiede un numero minore di vulnerabilità corrette e non corrette nel primo anni rispetto agli altri browser persi in considerazione».