284 dana ranjivosti Internet Explorera u 2006. godini

Period “otvorenosti prema napadu” (atack window) definiše se kao vreme koje protekne od trenutka kada takozvana “ranjivost nultog dana” (zero-day vulnerability) postane dostupna (poznata) hakerima, pa do momenta kada proizvođač datog softvera objavi odgovarajuću bezbednosnu zakrpu kojom se uočeni propust može eliminisati. Tokom ovog vremenskog perioda, korisnici softvera su potpuno izloženi svakojakoj eksploataciji, bez ikakvih odbrambenih mehanizama protiv napada sa mreže.

Brian Krebs, iz Washington Post-a, prikupio je statističke podatke koji otkrivaju neke zaista poražavajuće činjenice u vezi ranjivosti Internet Explorera 6 u protekloj godini. Ovde treba napomenuti da Microsoft-ov Internet Explorer, prema podacima objavljenim na sajtu Market Share by Net Applications (http://marketshare.hitslink.com/report.aspx?qprid=0), ima daleko najdominantnije prisustvo na globalnom tržištu web čitača, sa udelom od oko 80 procenata. U ovom kontekstu, IE korisnici su, tokom 2006. godine, napadima sa mreže bili izloženi u trajanju od čak 284 dana.

“Prošle godine je bilo barem 98 dana, tokom kojih iz Microsoft-a nije bilo dostupnih softverskih zakrpa za otklanjanje onih grešaka u IE, koje su kriminalci aktivno zloupotrebljavali za krađu ličnih i finansijskih podataka od korisnika. Softverske ranjivosti u Microsoft-u označavaju ka “kritične” – što je, ujedno, najozbiljnija kategorija grešaka po njihovoj klasifikaciji – ukoliko one mogu biti eksploatisane od strane kriminalaca bez bilo kakve posebne aktivnosti od strane korisnika, ili, eventualno, tako što korisnika IE-a jednostavno privole da klikne na neki link, poseti maliciozni web sajt, ili otvori specijalno dizajniranu e-mail poruku ili njen prilog (attachment),” objašnjava Krebs.

Krebs, nadalje, izveštava da je takozvani Proof-of-Concept ili eksploatacioni programski kôd, koji omogućava zloupotrebu bilo “ranjivosti nultog dana” ili nezakrpljenih kritičnih propusta u Internet Exploreru, bio slobodno dostupan na globalnoj mreži tokom čitavih 284 dana u protekloj godini.

Mada se verzija Internet Explorera 7 na tržištu pojavila 18. oktobra 2006. godine, ovaj najnoviji Microsoft-ov web čitač još uvek nije ni izbliza dostigao takvu stopu zastupljenosti, na osnovu koje bi se IE 6 mogao barem delimično izbaciti iz jednačine. Štaviše, analitičari iz kompanije OneStat su izračunali da je, na dan 6. novembra 2006., stopa zastupljenosti IE7 na globalnom planu iznosila svega 3.06%.