I veckan som gick presenterade Bit9 en lista över The Dirty Dozen – 2008s Most Popular Applications with Critical Security Vulnerabilities. Vilket kan sammanfattas som en svartlistning over applikationer som utgör stora säkerhetshål för företag. Lista själv har diskuterats livligt och många är förvånade över de applikationer som återfinns på den. Framförallt väcker listans nummer ett, Mozilla Firefox, stor förvåning, men också att säkerhetsföretaget Symatec och deras Nortion-produkter återfinns på plats 6. Listan ser ut som följer:
- Mozilla Firefox
- Adobe Flash & Acrobat
- EMC VMware Player, Workstation, and other products
- Sun Java Runtime Environment
- Apple QuickTime, Safari iTunes
- Symantec Norton products
- Trend Micro OfficeScan
- Citrix products
- Aurigma and Lycos image uploaders
- Skype
- Yahoo Assistant
- Microsoft Windows Live Messenger
Värt att notera är att för att en applikation ska tas upp på listan så ska den inte gå att uppdatera via en central uppdateringsfunktion så som Microsoft SMS och WSUS.
Att denna lista fått kraftiga motreaktioner kanske inte gör någon förvånad. Mozilla gick ut och kraftigt dementerade att deras webbläsare skulle vara ett säkerhetshål för företag.
Det man tog fasta på var ett av kriterierna för att finnas med på listan; bristen på central uppdatering. “Bit9 seems to understand (the need for smarter metrics) in its focus on application support for updates, but again it fails to account for the real world experience. Firefox does not deliver WSUS updates, but our built-in update mechanism requires no user intervention, and we consistently see 90% adoption within six days of a new update being released.”
Säkerligen har vi inte hört det sista i denna diskussion om vilka applikationer företag bör låta sina anställda installera på företagets datorer.