Kritik an Sicherheitsstudie: Microsoft vergleicht Äpfel mit Browsern

Es häuft sich die Kritik an der Microsoft-Studie, der zufolge Internet Explorer sicherer als Firefox sei.

In Pocket speichern vorlesen Druckansicht 326 Kommentare lesen
Lesezeit: 4 Min.

Die Kritik an der Microsoft-Studie, der zufolge Internet Explorer sicherer als Firefox sei, lässt nicht auf sich warten. Allen voran meldet Mozillas Sicherheitschefin Window Snyder einer kritische Lücke in Microsofts Meßverfahren. Sie kritisiert vor allem, dass die Zählerei von Fehlern grundsätzlich sinnlos sei. Während bei Mozilla alle Bugs dokumentiert und schnellstmöglich behoben werden, tauchen bei Firmen wie Microsoft in solchen Statistiken Fehler nicht auf, die intern gefunden und ohne Veröffentlichung behoben werden. Was man von außen sehe, seien nur die extern veröffentlichten Sicherheitslücken.

Scharf kritisiert Snyder auch, dass Microsoft Sicherheitslücken, die beispielsweise externe Dienstleister bei Penetrationstests entdecken, oft erst sehr viel später mit dem nächsten Service Pack oder Major Update beseitigt. Das bedeute, dass Anwender manchmal ein Jahr oder länger ungeschützt bleiben und ein Angreifer das Problem ebenfalls lokalisieren und ausutzen könne. Snyder sollte wissen, wovon sie spricht, war sie doch bis 2005 als Senior Security Strategist bei Microsoft tätig.

Ihr Kollege Mike Schroepfer, seines Zeichens Firefox-Entwicklungsleiter, haut in die gleiche Kerbe und zeigt mit Zahlen des unabhängigen Sicherheitsdienstleisters Secunia, dass in den letzten Jahren Nutzer des Internet Explorers regelmäßig durch bekannte, noch nicht gefixte Sicherheitslücken bedroht worden seien, während es bei Firefox nur zwei kurze Zeitfenster vergleichbarer Gefährdung gab.

Eine weitere Erklärung für die überraschenden Zahlen der Jones-Studie wurde hingegen bislang kaum diskutiert: die Art und Weise, wie Microsoft Schwachstellen den einzelnen Produkten zuordnet. Denn längst nicht alles, was IE-Nutzer real gefährdet, verbuchen die Redmonder auch als Internet-Explorer-Lücke. Leider hat Jeff Jones weder die Liste der jeweils angerechneten Sicherheitslücken veröffentlicht, noch exakte Kriterien genannt, wann beispielsweise eine Sicherheitslücke dem Internet Explorer zuzurechnen sei.

Gegenüber heise Security erklärte der Sicherheitsstratege, er habe zum Beispiel die mit dem Internet Explorer 7 eingeschleppte URI-Lücke nicht gewertet, da das eigentliche Problem in der Windows-Funktion ShellExecute() lag. Er betonte zwar, dieses Problem sei auch bei Firefox nicht in die Bilanz eingegangen, bestätigte aber im nächsten Satz, dass der zugehörige Patch MFSA 2007-27 – Unescaped URIs passed to external programs sehr wohl in die Statistik Einzug hielt, weil er eine eigene CVE-Nummer trage. Das Resultat: Für eine Sicherheitslücke in Windows, die erst Internet Explorer eingeschleppt hat, hat Jones Firefox ein kritisches Sicherheitsloch angerechnet, der verantworliche Internet Explorer hingegen kam ohne Malus davon.

Ein weiteres, typisches Beispiel, bei dem nicht klar ist, ob es in Jones IE-Statistik Einzug hielt, ist der Februar-Patch zur HTML-Hilfe. Auf eine diesbezügliche Nachfragen von heise Security antwortete Jones bislang nicht. Obwohl der Patch genau genommen keine Sicherheitslücke im Internet Explorer behebt, betrifft der Fehler vor allem IE-Anwender. Das dokumentiert sogar Microsoft in der Sicherheitsnotiz zu dieser Lücke, als Antwort auf die Frage, wie denn ein Angreifer diese Lücke ausnutzen könnte:

Ein Angreifer könnte eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt.

Überhaupt sind ActiveX Controls ein problematischer Punkt der Studie. Zumindest bis IE 6 kann jede Web-Seite standardmäßig alle ActiveX Controls aufrufen, die auf einem Windows-System installiert sind, was immer wieder zu Sicherheitsproblemen führt. Jones versicherte gegenüber heise Security, dass er die Lücken in ActiveX-Komponenten, die mit IE ausgeliefert werden, mitgezählt habe.

Doch in vielen Patches zu ActiveX-Komponenten fasste Microsoft wie in MS05-038/CAN-2005-1990 gleich einen ganzen Schwung zu einem Patch zusammen. Der CVE-Eintrag zählt für diesen Patch 17 COM-Objekte auf, in CAN-2005-2127 finden sich sogar 32. Ob Jones sich wirklich die Mühe gemacht hat, dies wieder auseinander zu dividieren, hat er bislang ebenfalls nicht beantwortet. Nachdem er jedoch insgesamt für Internet Explorer 6 SP2 nur 50 kritische Lücken ausweist, ist es wahrscheinlicher, dass er jeweils nur einen CAN/CVE-Eintrag bilanzierte.

Trotz aller Kritik hat Jeff Jones seine eigentliche Mission jedoch wieder einmal erfüllt: Er hat eine bislang in der Community schlicht indiskutable Behauptung, nämlich Microsofts Internet Explorer sei sicherer als Firefox, zum Gegenstand öffentlicher Diskussion gemacht. Das allein wird er wohl schon als Erfolg verbuchen. (ju)