A Quantitative Approach 
Browser Security Comparison 
Document Profile
Version 
0.0 
Published 
12/6/2011 
Convert pdf to word text document - Convert PDF to txt files in C#.net, ASP.NET MVC, WinForms, WPF application
C# PDF to Text (TXT) Converting Library to Convert PDF to Text
convert pdf to ascii text; convert pdf to word editable text
Convert pdf to word text document - VB.NET PDF Convert to Text SDK: Convert PDF to txt files in vb.net, ASP.NET MVC, WinForms, WPF application
VB.NET Guide and Sample Codes to Convert PDF to Text in .NET Project
convert pdf to text format; convert scanned pdf to word text
Browser Security Comparison – A Quantitative Approach 
Page| i of 
Version 0.0 Revision Date: 12/6/2011 
Revision History 
Version Date 
Description 
0.0 
12/26/2011 
Document published. 
VB.NET PDF Convert to Word SDK: Convert PDF to Word library in vb.
VB.NET Tutorial for How to Convert PDF to Word (.docx) Document in VB.NET. using RasterEdge.XDoc.PDF; Convert PDF to Word Document in VB.NET Demo Code.
convert pdf to word text online; convert pdf to txt
C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
do we need this PDF to Word converting library third-party software, you can hardly edit PDF document. this situation, you need to convert PDF document to some
converting pdf to editable text; converting image pdf to text
Browser Security Comparison – A Quantitative Approach 
Page| ii of 
Version 0.0 Revision Date: 12/6/2011 
Contents 
Authors .......................................................................................................................................................... v 
Executive Summary ....................................................................................................................................... 1 
Methodology Delta ................................................................................................................................... 1 
Results ....................................................................................................................................................... 2 
Conclusion ................................................................................................................................................. 2 
Introduction .................................................................................................................................................. 3 
Analysis Targets ........................................................................................................................................ 4 
Analysis Environment................................................................................................................................ 4 
Analysis Goals ........................................................................................................................................... 4 
Browser Architecture .................................................................................................................................... 5 
Google Chrome ......................................................................................................................................... 5 
Internet Explorer ....................................................................................................................................... 5 
Mozilla Firefox ........................................................................................................................................... 6 
Summary ................................................................................................................................................... 6 
Browser Comparison ................................................................................................................................. 8 
Historical Vulnerability Statistics .................................................................................................................. 8 
Browser Comparison ................................................................................................................................. 8 
Issues with Counting Vulnerabilities ......................................................................................................... 9 
Issues Surrounding Timeline Data .......................................................................................................... 10 
Issues Surrounding Severity .................................................................................................................... 11 
Issues Unique to Particular Vendors ....................................................................................................... 11 
Data Gathering Methodology ................................................................................................................. 13 
Update Frequencies ................................................................................................................................ 13 
Publicly Known Vulnerabilities ................................................................................................................ 16 
Vulnerabilities by Severity ...................................................................................................................... 17 
Time to Patch .......................................................................................................................................... 18 
URL Blacklist Services .................................................................................................................................. 20 
Comparing Blacklists ............................................................................................................................... 20 
“Antivirus-via-HTTP” ............................................................................................................................... 20 
Multi-Browser Defense ........................................................................................................................... 20 
Comparing Blacklist Services ................................................................................................................... 21 
C# Convert: PDF to Word: How to Convert Adobe PDF to Microsoft
Empower C# users to easily convert PDF document to Word document. Support fast Word and PDF conversion with original document page size remained.
pdf to text converter; convert pdf to word searchable text
VB.NET Create PDF from Word Library to convert docx, doc to PDF in
Export all Word text and image content into high quality Create PDF files from both DOC and DOCX formats. Convert multiple pages Word to fillable and editable
changing pdf to text; convert pdf to text file online
Browser Security Comparison – A Quantitative Approach 
Page| iii of 
Version 0.0 Revision Date: 12/6/2011 
Comparison Methodology ...................................................................................................................... 21 
Results Analysis ....................................................................................................................................... 21 
Conclusions ............................................................................................................................................. 25 
Anti-exploitation Technologies ................................................................................................................... 26 
Address Space Layout Randomization (ASLR) ......................................................................................... 26 
Data Execution Prevention (DEP) ............................................................................................................ 26 
Stack Cookies (/GS) ................................................................................................................................. 26 
SafeSEH/SEHOP ....................................................................................................................................... 26 
Sandboxing .............................................................................................................................................. 27 
JIT Hardening .......................................................................................................................................... 28 
Browser Anti-Exploitation Analysis ............................................................................................................. 31 
Browser Comparison ............................................................................................................................... 32 
Google Chrome ....................................................................................................................................... 34 
Microsoft Internet Explorer .................................................................................................................... 45 
Mozilla Firefox ......................................................................................................................................... 58 
Browser Add-Ons ........................................................................................................................................ 67 
Browser Comparison ............................................................................................................................... 68 
Google Chrome ....................................................................................................................................... 69 
Internet Explorer ..................................................................................................................................... 80 
Firefox ..................................................................................................................................................... 89 
Add-on summary .................................................................................................................................... 97 
Conclusions ................................................................................................................................................. 98 
Bibliography .............................................................................................................................................. 100 
Appendix A – Chrome Frame ......................................................................................................................... I 
Overview .................................................................................................................................................... I 
Decomposition .......................................................................................................................................... II 
Security Implications ................................................................................................................................ III 
Risk Mitigation Strategies ......................................................................................................................... V 
Conclusion ................................................................................................................................................. V 
Bibliography ............................................................................................................................................. VI 
Appendix B ..................................................................................................................................................... I 
Google Chrome .......................................................................................................................................... I 
C# Create PDF from Word Library to convert docx, doc to PDF in C#.
C#.NET control able to turn all Word text and image content into high quality PDF without losing Convert multiple pages Word to fillable and editable PDF
text from pdf; change pdf to text
C# PDF Text Extract Library: extract text content from PDF file in
But sometimes, we need to extract or fetch text content from source PDF document file for word processing, presentation and desktop publishing applications.
converting pdf to text; convert pdf to searchable text
Browser Security Comparison – A Quantitative Approach 
Page| iv of 
Version 0.0 Revision Date: 12/6/2011 
Internet Explorer .................................................................................................................................... XIII 
Mozilla Firefox ...................................................................................................................................... XVIII 
Tools ............................................................................................................................................................... I 
VB.NET PDF Text Extract Library: extract text content from PDF
SharePoint. Extract text from adobe PDF document in VB.NET Programming. Extract file. Extract highlighted text out of PDF document. Image
convert pdf to word text document; convert pdf into text
VB.NET PDF Convert to HTML SDK: Convert PDF to html files in vb.
Embed zoom setting (fit page, fit width). Free library for .NET framework. Why do we need to convert PDF document to HTML webpage using VB.NET programming code?
converting pdf to plain text; best pdf to text converter
Browser Security Comparison – A Quantitative Approach 
Page| v of 
Version 0.0 Revision Date: 12/6/2011 
Authors 
Listed in alphabetical order: 
 Joshua Drake (jdrake@accuvant.com) 
 Paul Mehta (pmehta@accuvant.com) 
 Charlie Miller (charlie.miller@accuvant.com) 
 Shawn Moyer (smoyer@accuvant.com) 
 Ryan Smith (rsmith@accuvant.com) 
 Chris Valasek (cvalasek@accuvant.com) 
Browser Security Comparison – A Quantitative Approach 
Page| 1 of 
102 
Version 0.0 Revision Date: 12/6/2011 
Executive Summary 
Accuvant LABS built criteria and comparatively analyzed the security of Google Chrome, 
Microsoft Internet Explorer, and Mozilla FireFox. While similar comparisons have been performed in the 
past, previous studies compared browser security by considering metrics such as vulnerability report 
counts and URL blacklists. This paper takes a fundamentally different approach, examining which 
security metrics are most effective in protecting end users and evaluating those criteria using publicly 
available data and independently verifiable techniques. 
Methodology Delta 
Most attempts to compare the security of different vendors within a software class rely on statistical 
analysis of vulnerability data.  The section entitled Historical Vulnerability Statistics and its subsections 
examine publicly available vulnerability data and discuss why such an approach is limited in its 
usefulness for comparatively assessing security.  
In contrast, we believe an analysis of anti-exploitation techniques is the most effective way to compare 
security between browser vendors.  This requires a greater depth of technical expertise than statistical 
analysis of CVEs, but it provides a more accurate window into the vulnerabilities of each browser.  
Accuvant LA A S’ analysis is based on the premise that all software of sufficient complexity and an 
evolving code base will always have vulnerabilities.  Anti-exploitation technology can reduce or 
eliminate the severity of a single vulnerability or an entire class of exploits. Thus, the software with the 
best anti-exploitation technologies is likely to be the most resistant to attack and is the most crucial 
consideration in browser security. 
An important difference between this paper and previous studies is that we’ve made our data and the 
tools used to derive the data available for scrutiny.  Previous attempts have been made to compare 
Historical Vulnerability Statistics and URL Blacklist Services; however, those studies’ conclusions have 
differed wildly from this paper’s results, and the difference in outcomes arises largely from the choice of 
data sources. We believe our own data is correctly representative of the population and have made it, 
along with our tools and methodologies, available to test this belief. Finally, we invite others to examine 
the tools for issues, or to extend and improve on them to encompass more criteria.  
We hope this paper presents readers with a definitive statement as to which browser is currently the 
most secure against common attacks, and provides criterion that vendors may use to measure and 
improve the security posture of their browsers.  Finally, it is our hope that this is helpful to others who 
work to evaluate browser security, and that they will reciprocate the open nature of this effort to help 
eliminate unverifiable data and conclusions. 
Browser Security Comparison – A Quantitative Approach 
Page| 2 of 
102 
Version 0.0 Revision Date: 12/6/2011 
Results 
The following graph shows the results of our analysis: 
Criteria 
Chrome 
Internet 
Explorer 
Firefox 
Sandboxing 
Plug-in Security 
JIT Hardening 
ASLR 
DEP 
GS 
URL Blacklisting 
Industry standard 
Implemented 
Unimplemented or ineffective 
Conclusion 
The URL blacklisting services offered by all three browsers will stop fewer attacks than will go 
undetected.  Both Google Chrome and Microsoft Internet Explorer implement state-of-the-art anti-
exploitation technologies, but Mozilla Firefox lags behind without JIT hardening.  While both Google 
Chrome and Microsoft Internet Explorer implement the same set of anti-exploitation technologies, 
Google Chrome’s plug-in security and sandboxing architectures are implemented in a more thorough 
and comprehensive manner.  Therefore, we believe Google Chrome is the browser that is most secured 
against attack. 
Browser Security Comparison – A Quantitative Approach 
Page| 3 of 
102 
Version 0.0 Revision Date: 12/6/2011 
Introduction 
From the cellular phone to the desktop, the web browser has become a ubiquitous piece of software in 
modern computing devices. These same browsers have become increasingly complex over the years, 
not only parsing plaintext and HTML, but images, videos and other complex protocols and file formats. 
Modern complexities have brought along security vulnerabilities, which in turn attracted malware 
authors and criminals to exploit the vulnerabilities and compromise end-user systems. This paper 
attempts to show and contrast the current security posture of three major Internet browsers: Google 
Chrome, Microsoft Internet Explorer and Mozilla Firefox. 
The following sections (Anti-Exploitation Technologies, Browser Anti-Exploitation Analysis and Browser 
Add-Ons) cover anti-exploitation technologies for the browsers and their add-ons. First a general 
discussion of anti-exploitation technologies, followed by more detailed information and comparisons of 
each browser’s anti-exploitation and add-on capabilities. Lastly, our conclusions based on the 
aforementioned information and comparisons. 
All information enumeration techniques that were automated are provided in a separate archive, so 
results can be reproduced, analyzed and challenged by third parties if so desired. 
We concluded the research for this paper in July 2011. Changes and updates may occur after this paper 
is released. We may attempt to update the paper or develop errata to deal with the security evolution 
of each assessed browser. 
Finally, readers should understand that, while Google funded the research for this paper, Accuvant LABS 
was given a clear directive to provide readers with an objective understanding of relative browser 
security. 
The views expressed throughout this document are those of Accuvant LABS, based on our independent 
data collection. 
Browser Security Comparison – A Quantitative Approach 
Page| 4 of 
102 
Version 0.0 Revision Date: 12/6/2011 
Analysis Targets 
The following targets were selected for analysis. These targets were selected for their market share. As 
of July, 2011 a combination of Google Chrome, Microsoft Internet Explorer and Mozilla Firefox represent 
93.4% of all users accessing the Internet [W3_Schools_Market_Penetration]. While other browsers 
would have been interesting to compare, in the interest of time they were excluded from this study. 
Google Chrome 
Google, Inc. develops the Google Chrome web browser. Google released the first stable version of 
Chrome on December 11, 2008. Chrome uses the Chromium interface for rendering, the WebKit layout 
engine and the V8 Java Script engine. The components of Chrome are distributed under various open 
source licenses. We included Google Chrome versions 12 (12.0.724.122) and 13 (13.0.782.218) in our 
evaluation. 
Microsoft Internet Explorer 
Microsoft develops the Internet Explorer web browser. Microsoft released the first version of Internet 
Explorer on August 16, 1995. Internet Explorer is installed by default in most current versions of 
Microsoft Windows, and components of Internet Explorer are inseparable from the underlying operating 
system. Microsoft Internet Explorer and its components are closed source applications. We evaluated 
Internet Explorer 9 (9.0.8112.16421). 
Mozilla Firefox 
Mozilla develops the Firefox web browser. Mozilla released the first version was released on September 
23, 2002. Firefox uses the Gecko layout engine and the SpiderMonkey JavaScript engine. The 
components of Firefox are released under various open source licenses. Firefox 5 (5.0.1) was evaluated 
for this project. 
Analysis Environment 
All targets were analyzed while running on Microsoft Windows 7 (32-bit). MacOS X, Linux and other 
operating systems were excluded from the analysis to simplify analysis tasks, provide timely and 
relevant information, and to increase applicability for the majority of users. Windows 7 was chosen over 
other variants in order to compare the latest operating system supported security measures. While it is 
regrettable that other environments and targets were excluded from the analysis, the sheer magnitude 
of material to cover combined with the pace that browser technologies evolve led to these constraints.
Analysis Goals 
The goal of our analysis was to provide a relevant and actionable comparison of the security of the three 
web browsers. Additionally, since there are several other papers that address this goal, we have 
included similar metrics in our analysis. While some of these parity metrics have noted flaws, it was our 
goal to expose those flaws so readers would be aware of them and not view their omission as oversight. 
Documents you may be interested
Documents you may be interested