Browsers zonder lekken bestaan niet, wel browsers die lekken snel dichten

De laatste tijd worden we weer opgeschrikt door veel beveiligingslekken in internet browsers. Firefox had vorige week een lek dat al misbruikt werd. In Internet Explorer zat een gat dat uitgebuit werd door internet criminelen en ook Google Chrome kwam met een belangrijke beveiligingsupdate. Browsers zonder lekken bestaan dan ook niet. Als de gaten maar snel gedicht worden.

Steeds vaker proberen internet criminelen via lekken in browsers malware op de pc's van argeloze surfers te installeren. Het is dan ook zaak om altijd de nieuwste versies van Internet Explorer, Firefox of welke browser dan ook te gebruiken, want deze bevatten over het algemeen geen (of weinig) lekken.

100% veilige software is een utopie. Er zullen altijd kwetsbaarheden en gaten in software gevonden worden. Als deze lekken maar snel gedicht worden dan is er weinig aan de hand. Dat betekent dus: veel updaten! Vandaar dat Firefox in een jaar tijd elf updates heeft uitgebracht. Vandaar dat Microsoft bijna elke maand tijdens de maandelijkse 'patch'-dag beveiligingsupdates uitbrengt voor Internet Explorer. Vandaar dat Google Chrome ook regelmatig - in alle stilte - geüpdate wordt.

Het is een wedloop tussen browsermakers en internet criminelen. De laatste groep maakt misbruik van gevonden lekken en de producenten plakken de gaten weer dicht. Vaak vinden beveiligingsonderzoekers of de browser-fabrikanten zelf zwakheden in de software en worden deze lekken gedicht voordat ze geopenbaard en dus uitgebuit kunnen worden.

Soms publiceren de ontdekkers van gaten in internet browsers echter al een beschrijving van de kwetsbaarheid op internet als er nog geen oplossing voorhanden is - wat niet zo netjes is. Dit is een zogeheten zero-day-lek: er is een beveiligingsprobleem en internet criminelen maken er al misbruik van. Dit is natuurlijk de hoogste alarmfase voor browsermakers, deze moeten direct aan de slag om de schade voor hun gebruikers te beperken. Vandaar dat er steeds meer 'noodupdates' worden uitgebracht. Zo krijgt Internet Explorer tussen de maandelijkse updates weleens een extra update en ook Firefox brengt wel eens eerder dan oorspronkelijk gepland nieuwe versies uit.

In elke browser - of het nu Internet Explorer, Firefox, Google Chrome, Safari of Opera is - worden dus gaten gevonden. Het gaat erom of deze gaten snel gedicht worden. Beveiligingsorganisatie Secunia biedt het volgende overzicht van nog niet opgeloste gaten in browsers op dit moment.

1. Internet Explorer 6 - 21 openstaande lekken
2. Internet Explorer 7 - 8 openstaande lekken
3. Internet Explorer 8 - 1 openstaand lek
4. Firefox 3.5.1*, Firefox 3.0.11, Google Chrome 2.0, Opera 9.64 en Safari 4.0 - geen openstaande lekken

Internet Explorer gebruikers moeten dus zeker overstappen naar versie 8, want die is minder lek dan IE 6 (wat een gatenkaas is) en IE 7. De laatste versies van Firefox, Google Chrome, Opera en Safari zijn momenteel zonder lekken. Totdat het volgende lek weer ontdekt wordt en de hele update-cyclus weer begint...

* Er is momenteel een dispuut gaande of Firefox 3.5.1 weer een nieuwe openstaand lek zou bevatten. Volgens enkele beveilgingsonderzoekers is er een lek in de laatste Firefox dat uitgebuit kan worden. Volgens Mozilla en enkele andere beveiligingsonderzoekers is er alleen een bug die tot een crash kan leiden maar die verder niet misbruikt kan worden. De toekomst zal uitwijzen wie gelijk heeft en of er een nieuwe tussentijdse update nodig is...