Studie: Firefox am fehlerhaftesten, aber schneller gepatcht
Der Sicherheitsdienstleister Secunia hat seinen Sicherheitsreport für das Jahr 2008 veröffentlicht. Mit 115 geschlossenen Lücken wies der Firefox-Browser im Jahre 2008 mehr Lücken auf als der Internet Explorer, Safari und Opera zusammen.
- Daniel Bachfeld
Mit 115 geschlossenen Lücken wies der Firefox-Browser im Jahre 2008 mehr Lücken auf als der Internet Explorer (31), Safari (32) und Opera (30) zusammen, schreibt der Sicherheitsdienstleister Secunia in seinem Report (PDF-Datei) für das vergangene Jahr. Allerdings haben die Mozilla-Entwickler die Fehler nach dem Bekanntwerden offenbar erheblich schneller beseitigt als Microsoft.
Dabei bezieht sich Secunia aber nur auf die wenigen Lücken, bei denen zum Zeitpunkt der Veröffentlichung noch kein Patch zur Verfügung stand. Beim Internet Explorer waren dies laut Bericht sechs, bei Firefox drei. Bei einer als kritisch eingestuften Lücke benötigten die Redmonder immerhin 110 Tage für einen Patch – wobei es sich aber um ein kniffliges Problem bei der Same Origin Policy respektive der Cross Domain Policy handelte.
Ende Januar hatte Microsofts Security Evangelist Jeff Jones in einer Studie hingegen behauptet, dass Firefox-User 285 Tage mit offenen Sicherheitslücken leben mussten. Kritiker entgegneten allerdings, dass die Zählweise nicht korrekt gewesen sei.
Secunias Report für das Jahr 2008 enthält zudem Ergebnisse aus dem Personal Software Inspector (PSI), dem hauseigenen Inventarisierungtool. Bei den zehn am häufigsten installierten Anwendungen war mindestens jede vierte aufgrund nicht eingespielter Patches löchrig. So waren bei Installation von Sun Java JRE 1.5.x/5.x 96 Prozent nicht auf dem aktuellen Stand, beim Adobe Flash Player 9.x immerhin noch 48 Prozent unsicher. Adobes Reader 8.x war auf jedem vierten Rechner angreifbar.
Eine gute Nachricht hat Secunia immerhin zu verkünden: Die Zahl der Zero-Day-Exploits hat nach Beobachtungen des Dienstleisters von 20 im Jahre 2007 auf 12 im Jahr 2008 abgenommen. Von den 12 betrafen laut Report aber 9 Software von Microsoft und die restlichen 3 Exploits nutzen Lücken ActiveX-Control für den Internet Explorer aus.
Siehe dazu auch:
- Microsoft-PR-Blamage bei IE-Sicherheit, Bericht von heise Security
- Geister bedrohen Internet-Explorer-Anwender, Bericht von heise Security
(dab)
