Firefox: Sicherheitslücken werden schneller geschlossen

4. Mai 2006, 15:59
58 Postings

Deutlich flottere Reaktionszeit als beim Internet Explorer - Besseres Verhältnis zu Sicherheitsexperten hilft

Die Sicherheit einer Software zu quantifizieren ist eine schwierige - und heftige umstrittene - Angelegenheit. Verschiedene Statistiken lassen sich leicht selektiv präsentieren, um die eine oder andere "Wahrheit" zu kreieren. Doch gerade das im Browserwettstreit so beliebte Zählen von veröffentlichten Sicherheitslücken ist aus mehreren Gründen ein denkbar schlechter Gradmesser für die "Sicherheit" einer Software. (Zum Beispiel würden Hersteller, die besonders intensiv nach Sicherheitslücken in der eigenen Software suchen und entsprechend viele Advisories veröffentlichen, als "unsicherer" dastehen als die, die nur auf Berichte von "außen" warten).

Speed

Entscheidender ist wohl die Frage, wie - und vor allem wie schnell - die Hersteller auf die einzelnen Berichte über Sicherheitslücken reagieren. Bei einem Rückblick auf das Jahr 2005 zeigt sich dabei, dass zumindest in diesem Gebiet der Mozilla Firefox wesentlich besser dasteht als die Konkurrenz von Microsoft, dies berichtet die Washington Post.

Speed

So hätten die EntwicklerInnen des Mozilla-Projekts im Schnitt 21 Tage gebraucht, um berichtete Probleme zu beseitigen, beim Internet Explorer waren es hingegen durchschnittlich 135 Tage. Auch bei der Frage nach realen Gefährdungsszenarien steigt die Open Source-Software besser aus: Während Firefox-BenutzerInnen 2005 17 Tage mit offenen Sicherheitslücken, für die ein (theoretischer) Exploit existierte, leben mussten, waren es beim IE 256 Tage. Betrachtet man die Tage an denen Viren und Trojaner versuchten die Lücken auszunutzen, dann steht es 0:38.

Disclaimer

Gerade bei letzterem müssen aber fairerweise einige Einschränkungen hinzugefügt werden, schließlich war der Internet Explorer auch 2005 weiterhin das primäre Ziel von Viren- und TrojanerschreiberInnen. Außerdem hat das Mozilla-Projekt einen weiteren starken Startvorteil: Man hat ein besseres Verhältnis zur Sicherheits-Community, so dass deutlich weniger Lücken vor der Verfügbarkeit eines Patches öffentlich gemacht werden, als bei der Microsoft-Software. (red)

  • Bild nicht mehr verfügbar
Share if you care.