渤海之狼의 블로그

[InternetExplorer(IE)보다도Firefox 쪽이취약성 건수가 많다]라는 보고서를Microsoft관계자가 발표한것에 둘러싸고,쌍방의 시큐리티담당자가 블로그에서 불꽃 튀기는 싸움을 하고 있다.

보고서를쓴 것은 마소의 TrustworthyComputing 부분에서시큐리티 전략 디렉터인 제프존스(JeffJones)씨.IE와 Firefox에대해서 과거 3년간공개된 취약성 정보를 조사하여,IE 쪽이 Firefox보다도취약성이 적었다고 결론지었다.

보고서에따르면 2004년11월10일이후, 수정된취약성의 건수는 Firefox의199에비해서,IE는 87건.

이는“[Firefox는IE에비해서 시큐리티 문제가 적다]라는Mozilla의주장과는 상반된다”고 존스 씨는 코멘트.

이에대해서 Mozilla시큐리티 책임자인윈도우 스나이더 씨는

“(존스씨의 보고서는)모든 시큐리티 문제를카운트하고 있지 않다”

고반론했다.

취약성의 건수를 세는 것 보다도,시큐리티 문제가발견되면서부터 수정될 때까지 어느 정도의 시간이걸리느냐가 더 중요하다고 스나이더 씨는 강조.

“Microsoft가IE의취약성을 수정하기까지 걸리는 시간과,Mozilla가 Firefox의취약성을 수정하기까지 걸리는 시간을 비교해보면,(존스 씨가)왜 취약성의 건수나세고 있는지 알 수 있다”

고비판했다.

거기에WashingtonPost의 분석 기사를인용하여,2006년에 공개되지 않은 패치의 취약성을 노린 코드가 인터넷에 공개된일 수를 비교한 결과,IE(버전 7이전)이합계 284일이었던것에 대하여,Firefox인 경우 불과9일이었다고지적했다.

Mozilla간부 마이크슈레퍼(MikeSchroepfer) 씨의블로그에서도,

“IE의취약성이 얼마나 존재하는지는 Microsoft의사원 말고는 알 수 있는 방법이 없다”

고하여, 취약성건수나 세고 있는 것은 무의미하며,문제인 것은 유저가위험에 노출되어 있느냐 없느냐라고 해설.Symantec이나 Secunia의분석 자료로, “Firefox는IE보다안전”하다고강조했다.