Bilanz des US-CERT: Lücken in Betriebssystemen

Das US-CERT hat seine Jahresbilanz zu Sicherheitslücken in Betriebssystemen für das abgelaufene Jahr 2005 vorgelegt – und heizt damit die Diskussionen an. Windows habe weniger Lücken aufzuweisen als Linux/Unix, heißt es in dem Bericht. Die Zahlen der amerikanischen Behörde stoßen allerdings auf Kritik, da sie nicht sehr aussagekräftig erscheinen.

Insgesamt hat das US-CERT 5198 Sicherheitslücken aus dem letzten Jahr in seine Bilanz aufgenommen. Davon entfielen 812 auf Windows, 2328 auf Linux/Unix und 2058 betrafen mehrere Plattformen. In die Zahlen fließen sowohl Lücken für das Betriebssystem selbst als auch für Anwendungen auf dem jeweiligen OS ein. Die Zählweise des Computer Emergency Readiness Team der Amerikaner ist allerdings umstritten: So finden Updates von Security-Advisories jedesmal Einzug in die Statistik; ebenso tauchen Fehler mehrmals in der Liste auf, wenn einzelne Linux-Distributoren Sicherheits-Updates für denselben Fehler ausgeliefert haben. So erhält eine relativ harmlose Lücke wie die der Rechteänderung an den entpackten Dateien durch BZIP2-Archive zehn Zähler.

Die Anzahl der Fehler in der Linux/Unix-Kategorie ist auch deshalb so hoch, weil sämtliche Linux-Distributionen sowie BSD- und Unix-Derivate – auch Mac OS X – hierin einzeln eingestuft werden. Die Betriebssystem-Komponenten sind in der Übersicht kaum vertreten. Der direkte Vergleich der gelisteten Fehler in den Kernkomponenten der Betriebssysteme zeichnet ein anderes Bild: Für Windows wurden mehr Fehler gemeldet (über 70) als etwa für Linux (23). Die nackten Zahlen sagen zudem nichts über die Sicherheit eines Betriebssystems aus: Zweifelsohne ist etwa die WMF-Lücke in Windows weitaus heftiger als das oben erwähnte BZIP2-Sicherheitsleck.

Siehe dazu auch: (dmk)

• Cyber Security Bulletin 2005 Summary des US-CERT