Internet ExplorerとFirefoxの脆弱性分析(サポート対象のブラウザ)

このレポートでは、まず全体的な話から始め、徐々に論点を掘り下げていくことにする。

Mozillaは2004年11月にFirefox 1.0を公開し、続いて1.5、2.0を公開した。これら3つは、2004年11月から2007年10月までの3年間でサポートされているバージョンである。このレポートで取り上げる期間は、2007年10月末までである。

同じ期間で、MicrosoftはInternet Explorer 5.01 SP3およびSP4、Internet Explorer 6.0 Gold、SP1、SP2およびWindows Server 2003 edition、Internet Explorer 7をサポートしている。

2004年11月のFirefox 1.0リリースから、Mozillaはサポート期間中のFirefoxについて、199の脆弱性修正を行った。そのうち、重大性の高いものは75、中程度のものは100、低いものは24であった。同じ期間中に、MicrosoftはInternet Explorerのサポート期間中のバージョンについて、全部で87の脆弱性修正を行った。そのうち、重大性の高いものは54、中程度のものは28、低いものは5であった。

この図の示す結果は、FirefoxはInternet Explorerよりも脆弱性がずっと少ない、という予想と正反対である。そして、どのベンダーにとっても、セキュリティ品質は重要であることが強調されている。

修正済の脆弱性を示すこの図を眺めていると、公になってはいるがまだ未解決の問題について、個々のベンダーはどう対処しているのか、という疑問が湧いてくる。この問題については、レポートの後半で言及する。