Microsoft-PR-Blamage bei IE-Sicherheit

Microsofts Security Evangelist Jeff Jones hat sich wieder einmal daran versucht, seine These zu untermauern, der Internet Explorer sei mindestens genau so sicher wie Firefox. Doch Brian Krebs von der Washington Post stellt klar, dass die von Jones für den Vergleich verwendeten Zahlen so nicht stimmen.

Für seinen aktuellen PR-Coup veröffentlicht Jones gleich eine ganze Artikel-Serie auf der Web-Site des CIO-Magazins des US-Verlagshauses IDG. In den ersten Folgen beschäftigt er sich mit einer Studie von Brian Krebs, der zufolge Anwender des Internet Explorer 2006 ganze 284 Tage akut durch Sicherheitslücken gefährdet waren.

In seiner Statistik zeigt Jones, dass Firefox-User sogar 285 Tage mit offenen Sicherheitslücken leben mussten. In einer Erwiderung stellte Krebs jedoch klar, dass Jones wieder einmal Äpfel mit Birnen verglichen hat. Während Krebs nur kritische Lücken zählte, die es präparierten Web-Seiten ermöglichen, den Rechner der Besucher zu infizieren, summierte Jones alle Schwachstellen auf. Darunter befanden sich insbesondere drei mit niedriger und eine mit mittlerer Einstufung, die zusammen den Löwenanteil der postulierten 285 Tage ausmachten; ohne sie kommt Krebs auf lediglich 9 Tage.

Abschließend weist Krebs noch darauf hin, dass Jones einen weiteren Aspekt komplett außer Acht gelassen hat. Während 98 Tagen des Jahres nutzten Betrüger bekannte Schwachstellen des Internet Explorer aus, gegen die sich IE-Anwender nicht schützen konnten, weil Microsoft noch keinen Patch parat hatte. Bei Firefox fand Krebs hingegen keine Hinweise, dass derartige Zero-Day-Lücken aktiv ausgenutzt wurden. Auch angesichts der Zero-Day-Lücke im IE Ende 2008 war dieser PR-Coup somit eher ein Eigentor. (ju)