Firefox est l'application la plus dangereuse ?
Le par Jérôme G. Source : InformationWeek
Selon la société Bit9, le navigateur open source Firefox est l'application logicielle parmi les plus populaires, qui en 2008 a contenu le plus de vulnérabilités critiques et présenté le plus grand risque en entreprise.
La société de sécurité Bit9 est notamment connue pour sa technologie de liste blanche permettant à un administrateur de contrôler les logiciels autorisés, installés sur le parc informatique dont il a la charge. Chaque année, Bit9 publie un classement des applications qui représentent le plus grand risque pour l'entreprise.Dangereux pour cause de mise à jour non centralisée
Bit9 évalue ce risque en fonction de plusieurs critères et ne figurent dans son classement que des applications Windows dont la mise à jour n'est pas centralisée par des utilitaires d'entreprise comme Microsoft SMS et WSUS. De fait, beaucoup de produits Microsoft ne sont pas pointés du doigt. Parmi les critères : la popularité de l'application auprès des utilisateurs finaux, le nombre et l'indice de gravité des vulnérabilités détectées dans l'année ainsi que la difficulté pour les administrateurs IT à les corriger.
Pour 2008, le classement de Bit9 a " distingué " en premier lieu les versions 2.x et 3.x de Firefox pour une quarantaine de vulnérabilités. Il faut toutefois bien garder à l'esprit que l'ensemble de ces vulnérabilités ont été corrigées mais selon Bit9, les patchs prodigués ne sont pas facilement déployés par les administrateurs IT, d'autant que nombre d'entre eux ne savent pas quels programmes leurs collaborateurs font fonctionner. Un classement qui fait donc au passage la promotion des solutions fournies par Bit9...
Firefox est suivi par :
- Adobe Acrobat et Flash
- EMC VMware Player, Workstation et autres produits
- Sun Java Runtime Environment
- Apple QuickTime, Safari et iTunes
- Symantec Norton
- Trend Micro OfficeScan
- Citrix Products
- Aurigma, Lycos image uploaders
- Skype
- Yahoo! Assistant
- Microsoft Windows Live Messenger
Complément d'information
-
Mozilla ne partage évidemment pas l'avis de la société Bit9 selon laquelle Firefox est l'application la plus dangereuse de 2008 en termes de sécurité en entreprise. Pour ce titre polémique, le navigateur serait notamment victime de son...
Poser une question
tel programme est dangereux par ce que l'administrateur est un incapable.
• Runs on Microsoft Windows.
• Is well-known in the consumer space and frequently downloaded by individuals.
• Is not classified as malicious by enterprise IT organizations or security vendors.
• Contains at least one critical vulnerability that was:
o first reported in January 2008 or after,
o registered in the U.S. National Institute of Standards and Technology’s (NIST) official vulnerability database at http://nvd.nist.gov, and given a severity rating of high (between 7.0-10.0) on the Common Vulnerability Scoring System (CVSS).
• Relies on the end user, rather than a central IT administrator, to manually patch or upgrade the software to eliminate the vulnerability, if such a patch exists.
• The application cannot be automatically and centrally updated via free Enterprise tools such as Microsoft SMS & WSUS.
Chic, un panel de critères sur-mesure pour éviter de mettre dans la liste : Windows, IE, Windows Media Player, Outlook et Ms Office. Quoi attendre d'autre d'un Certified Partner ?
Edit: Ce rapport est grotesque par ses critères, mais il est vrai qu'un outil INTERNE de mises-a-jour FORCÉE d'un parc de Firefox serait top-moumoute. Les "Pro" ont déja pris l'habitude de blacklister les User-Agents anciens de Firefox dans le squid de la boite, mais on est dans le curatif, pas le préventif.
il s'agit d'un logiciel populaire qui va donc être installer ou utiliser sans installation avec une version portable sur un certain nombre de poste
et les Majs ne sont pas centralisées
Un logiciel que personne n'utilise n'est pas franchement dangereux,
Un logiciel a jour au niveau sécurité n'est pas franchement dangereux
Autant j'aime Firefox autant je comprend que d'un point de vue entreprise c'est quand même un outil "dangeureux"
j'ai 2/3 collègue dans mon bureau (de 6) qui n'applique pas toujours les patchs firefox
et on sait que les hackers sont prompt à la réalisation d'exploit dès qu'ils sont connus
Ce logiciel mériterais un meilleur traitement au niveau administration