14. Februar 2006:

Schneller patchen mit Mozilla

Es ist kein Geheimnis, dass sich Microsoft beim Stopfen von Sicherheitslücken im Internet Explorer nicht selten sehr viel Zeit nimmt. Wie aber sieht es mit dem Mozilla-Browser Firefox aus? Wie sicher ist der Open-Source-Browser im Vergleich zum veralteten Flickenbrowser aus Redmond? Die US-Tageszeitung Washington Post wollte es genau wissen und hat untersucht, wie schnell kritische Sicherheitslücken in beiden Browsern geschlossen werden. Das Ergebnis dürfte kaum verwundern: Die Entwickler des Firefox liegen vorn. Weit interessanter ist der riesengroße Vorsprung, mit dem der Mozilla-Browser den altersschwachen Internet Explorer schlägt.

23 Tage Entwicklungszeit
Brian Krebs, bei der Washington Post Experte für Computerthemen, hat ganze Arbeit geleistet und für einen Zeitraum von drei Jahren alle Daten zur Behebung von „kritischen“ Sicherheitslücken in diversen Mozilla-Produkten zusammengetragen. Berücksichtigt wurden u. a. die Mozilla Suite, der Firefox-Webbrowser sowie das Emailprogramm Thunderbird. Im Ergebnis fand Krebs heraus, dass die Mozilla-Entwickler durchschnittlich 23 Tage benötigten, um Sicherheitslücken in ihren Produkten zu stopfen und ihren Kunden die entsprechenden Updates zur Verfügung zu stellen.

Ein Drittel aller Lücken in zehn Tagen gestopft
Krebs wollte es noch ein wenig genauer wissen und stellte fest, dass die Mozilla-Entwickler in den letzten drei Jahren ungefähr ein Drittel aller entdeckten Sicherheitslücken in weniger als zehn Tagen beseitigen konnten. Damit hat die Mozilla-Crew im Vergleich zu Microsoft eindeutig die Nase vorn. Das Redmonder Softwarehaus benötigte im gleichen Untersuchungszeitraum ungefähr drei Mal so viel Zeit, um kritische Sicherheitslücken im Internet Explorer zu schließen.

Microsoft lässt sich Zeit
Nicht jedes Sicherheitsloch gelangt über die einschlägigen Webseiten an die Öffentlichkeit. Viele Lücken werden den Browserherstellern vertraulich übermittelt, um böswilligen Zeitgenossen keine verwertbaren Informationen zu liefern, die sie benutzen könnten, um Exploits für die entsprechenden Browserlücken auszuarbeiten. Problematisch wird es für die Browserproduzenten immer dann, wenn das Sicherheitsproblem im Netz bekannt gemacht wurde. Krebs untersuchte auch diese Fälle. Er wollte wissen, wie lange Nutzer des Internet Explorer und des Firefox bzw. Thunderbird auf solche extrem wichtigen Sicherheitsupdates zu warten hatten. Das Ergebnis lässt aufhorchen. Während die Nutzer von Firefox und anderen Mozilla-Produkten lediglich 17 Tage ungeschützt waren, dauerte es 256 Tage, bis die Sicherheitsexperten aus dem Hause Microsoft endlich ihre Updates fertig hatten.

Kein Schadprogramm für ungepatchte Firefox-Lecks
Große Ziele trifft man besser. Das gilt auch für die Programmierer von Schadprogrammen, die sich bei der Verbreitung ihrer Schädlinge wesentlich häufiger auf Sicherheitslücken im Microsoft-Browser stürzen. Firefox wird demgegenüber relativ selten angegriffen. Brian Krebs von der Washington Post hat deshalb auch noch untersucht, wie lange es dauerte, bis ein Sicherheitsupdate für eine Lücke zur Verfügung stand, für die bereits Schadprogramme in Umlauf waren. Er stellte die Frage, wie lange Nutzer schutzlos der Gefahr ausgeliefert waren, sich ein entsprechendes Schadprogramm einzufangen. Krebs kommt zu dem Ergebnis, dass Nutzer des Internet Explorers in diesen besonders gefährlichen Fällen insgesamt 38 Tage relativ schutzlos durchs Netz der Netze surfen mussten. Für den Firefox hingegen trat dieser Fall nie ein. Es war zu keiner Zeit ein Schadprogramm in Umlauf, das eine noch nicht behobene Firefox-Lücke ausnutzen wollte.

Zurück zur News-Übersicht