Verwundbarkeit von Microsoft Office und OpenOffice im Vergleich
Zwei voneinander unabhängige Untersuchungen haben ergeben, dass in den letzten zehn Jahren die Zahl der Schwachstellen Microsoft-Office-Produkten dramatisch gefallen ist – sogar unter die von OpenOffice.
- Daniel Bachfeld
Die Zahl der Fehler und ausnutzbaren Schwachstellen in den einzelnen Microsoft-Office-Versionen hat in den vergangenen Jahren dramatisch abgenommen und liegt sogar unter der von OpenOffice. Zu diesem Ergebnis sind unabhängig voneinander der Sicherheitsspezialist Dan Kaminsky und Will Dormann vom CERT der Carnegie Mellon University gekommen. Die Ergebnisse sind allerdings mit ein wenig Vorsicht zu genießen, da sie auf automatischen Auswertungen beruhen und wenig über das konkrete Bedrohungspotenzial aussagen.
Beide benutzten für ihre Untersuchungen Fuzzing-Tools, um mehrere zehntausend fehlerhafte Doc-Dateien zu erstellen, sie in die Office-Produkte zu laden und die Reaktion mit dem Microsoft-Tool "!exploitable Crash Analyzer" auszuwerten. Kaminsky und Dormann zählten schließlich die Anzahl der Abstürze sowie die vom Crash Analyzer als Schwachstellen eingestuften Fehler, die sich für Angriffe ausnutzen oder vermutlich ausnutzen lassen. Das Tool nimmt diese Einschätzung allerdings automatisch vor.
(Bild: Dan Kaminsky)
Dormann hat von Office XP über Office 2003 und 2007 bis zu Office 2010 eine stetige Abnahme der Abstürze registriert. Zudem verringerte sich die Zahl der ausnutzbaren Lücken von sieben auf null kontinuierlich. Bei OpenOffice verglich er nur die Versionen 3.2.1 und 3.30 RC7, wobei die Zahl der Abstürze und ausnutzbaren Fehler (von 18 auf 15) innerhalb des Produkte zwar abnahm, damit jedoch immer noch erheblich über denen von Microsoft Office lag.
Kaminsky kommt mit seinen Versuchen zu drastischeren Aussagen: Während Office 2003 noch 127 (möglicherweise) ausnutzbare Lücken aufweist, sackte die Zahl bei Office 2007 auf 12 und bei Office 2010 auf 7 ab. Im Vergleich dazu wies die im Jahr 2003 verfügbare OpenOffice-Version (Version 1.1) 73 Schwachstellen auf, was im Jahr 2007 auf 62 und 2010 auf 20 fiel.
Kaminsky und Dormann halten sich bei der Interpretation der Ergebnisse zurück. Aus Sicht von Kaminsky hat sich die Lage wesentlich verbessert. Worauf dies zurückzuführen ist, lassen beide offen. Bei Microsoft dürfte die Einführung des Software Developments Lifecycles eine wesentliche Rolle spielen, da der Hersteller in diesem Rahmen besondere Prozesse und Tools zu Erhöhung der Sicherheit seiner Produkte etabliert hat.
Allerdings darf man die Ergebnisse auch nicht überbewerten. Zum einen variieren sie ja offenbar bei ähnlichen Tests sehr stark und zum anderen sind die Produkte von Microsoft derzeit noch eher im Fokus von Angreifern als OpenOffice. Somit ist das Risiko einer Infektion selbst mit weniger Schwachstellen höher. Das kann sich allerdings ändern, wenn demnächst der Support für Office XP ausläuft (12. Juli 2011) und Unternehmen und Anwender auf aktuellere Office-Versionen wechseln. Darin versucht unter anderem die "Office File Validation" das Laden präparierter Dateien zu verhindern. Die Funktion steht sei dem letzten Patchday auch für Office 2003 und 2007 zur Verfügung. (dab)
