【IT168 资讯】据国外媒体报道，近日微软的可信赖计算部门的研究员兼安全战略主管Jeffrey Jones发布了一篇报告，并被发布在CSO在线杂志的专栏中。这篇报告比较了IE浏览器和Firefox浏览器的安全跟踪记录，报告涉及了两款浏览器的老版本(IE 6和Firefox 1.0)和新版本(IE 7、Firefox 1.5和2.0)。Jones最后在这篇报告中得出一个结论，与大多数人所认为的情况相反的是，在相同的一段时间内，IE浏览器所经历的安全漏洞要比Firefox少的多。

　　Jones的这篇报告查看了过去三年中这两款浏览器的安全漏洞，并将它们分为高、中、低三个严重等级。自从2004年11月以来，微软在IE 6和IE 7中共有87个安全漏洞，而Mozilla则共发布了199个对Firefox 1.0、1.5和2.0的修补。除了查看安全漏洞的总体数量之外，Jones还将用户分为四类：立即升级到新版的IE用户，一直拖着不肯进行升级的IE用户，还有对应的两类Firefox用户。有意思的是，在这两款浏览器中，晚升级的用户所遭遇的安全漏洞数量与立即升级的用户差不多。如下图所示，IE在这段时间具有明显比Firefox少的安全漏洞。

IE和Firefox的安全漏洞数量

　　Jones还查看了在新版软件推出后的第一年中发现的安全漏洞的趋势：在创建没有多少安全漏洞的安全软件方面，微软和Mozilla将变得更好还是更坏?他发现IE6在推出后的第一年有26个安全漏洞，而IE7则在第一年表现略好，有17个安全漏洞(Vista上的IE7，由于它的增强的安全功能，只有14个)。Firefox则显示了略微不同的趋势，在其1.0版中出现了66个安全漏洞，而1.5版则呈上升趋势达到了77个安全漏洞，2.0版则下降到56个。不过，这些数字都远远高于IE。

　　当然，比较已修复的安全漏洞并不能代表一个产品的完整安全状况：在未修复的安全漏洞方面两者又表现如何呢?Jones对此进行了研究，发现在Firefox 2中有24个已发现但尚未修补的安全漏洞，相对比的是在IE 7中的数字是21个。在这方面，Jones没有研究这两款浏览器的早期版本，他也没有尝试去估计未发现和未修复的安全漏洞数量，他认为这是难以计算的。他也没有去计算试图利用这些安全漏洞的网站的数目，因为这也可能是一个非常困难的任务。尽管有的人依然认为恶意软件的目标只是IE浏览器，但实际情况是，今天的大多数恶意软件都会进行一个简单的浏览器版本检查，然后针对IE或Firefox加载相应的漏洞利用代码。只利用ActiveX的恶意软件时代已经过去了。

　　他还表示，目前Mozilla仅为Firefox 2.0版提供安全更新。他们的策略是，在新版推出后的6个月内，停止对旧版本的安全支持。如果微软也使用同样的策略，那么IE6的安全更新就应该已经在今年5月停止。但是到现在Windows 2000用户还能得到IE 5.01 SP4的安全更新。

　　可以想象到的是，Jones的这篇报告会引起怎样的争论，有的分析家认为，Jones作为一个微软的员工，在这个报告中明显有偏向微软的做法，因此这个报告不能被当作一个有价值的报告，而Mozilla的技术战略家Mike Shaver对于Jones在报告中所采取的方法表达了严重的质疑。