Drei unsichere Programme pro Update-Check
Nach einem Monat mit rund 140.000 Scans malt der Update-Check ein düsteres Bild der Sicherheit von Windows-PCs: Im Schnitt findet der Test rund drei Programme mit bekannten Sicherheitslücken, die sich einfach beseitigen lassen.
Der Update-Check von heise Security findet im Schnitt pro Scan drei unsichere Programme, die sich leicht auf den aktuellen, sicheren Stand bringen ließen. Die schlimmsten Übeltäter sind Adobe mit Flash beziehungsweise Reader und Sun mit Java.
In den ersten 30 Tagen seit seinem Start führte der Update-Check 142.094 Tests durch und erkannte dabei insgesamt 1.406.322 Programme. Davon waren bei 381.803 installierten Programmen bereits aktuellere Versionen verfügbar, die bekannte Sicherheitslücken beseitigen. Im Schnitt fand der Test also rund 2,7 potentielle Einfallstore pro Durchlauf.
Die absoluten Zahlen sind nicht sonderlich belastbar, da beispielsweise wiederholte Tests nicht als solche erkannt werden. Außerdem zählt der Update-Check alle vorgefundenen Programm-Versionen – und das sind gerade bei Java oder Flash oft mehr als eine. Aber als Trend kann man durchaus ablesen, dass die Windows-Welt deutlich sicherer wäre, wenn Adobe und Sun ihre Hausaufgaben erledigen würden. Die beiden Firmen dominieren den Top-10-Pranger der meisten verwundbaren Installationen sehr deutlich; rund 70 Prozent der unsicheren Programme gehen auf die Kappe dieser zwei Firmen. Aber auch Apple mit Quicktime sowie WinAmp und Skype sollten etwas unternehmen, um ihre Anwender besser zu schützen.
Dabei meldet (und zählt) der Update-Check keineswegs alle unsicheren Programme. Nur wenn der Anwender das Sicherheitsproblem durch ein einfaches Update beheben kann, schlägt er Alarm. Im aktuellen Adobe Reader ist seit Dezember eine kritische Sicherheitslücke bekannt, die auch bereits aktiv ausgenutzt wird, um PCs heimlich mit Schad-Software zu infizieren. Doch weil Adobe immer noch keine gesicherte Version bereitstellt, der Anwender das Problem also nicht durch ein einfaches Update beseitigen kann, moniert der Update-Check die aktuellen Reader-Versionen derzeit noch nicht.
Bei Adobe ist immerhin schon angekommen, dass man etwas unternehmen muss. Die angekündigten, stillen Updates im Hintergrund sind jedoch auch nicht unbedingt der Weisheit letzter Schluss, wie die Zahlen für Googles Browser zeigen, der ebenfalls über Silent Updates aktualisiert wird. Der Anteil der verwundbaren Chrome-3-Installationen liegt mit 24% deutlich über dem von Internet Explorer 8 (5%), Firefox 3.5 (7%) und Opera 10 (8%).
Angesichts dieser Zahlen ist es vielleicht eine gute Idee, die etwas ruhigere Zeit, bevor das neue Jahr richtig los geht, noch zu nutzen, um jetzt einen Update-Check durchzuführen. (ju)
