Microsoft: Internet Explorer ist sicherer als Firefox

Jeff Jones, bei Microsoft als Security Strategy Director für die Trustworthy Computing Group tätig, vergleicht gerne die Produkte seines Hauses mit anderen. Nachdem er zuletzt Windows Vista in Sicherheitsdingen ein besseres Zeugnis ausgestellt hat als Linux und Mac OS X, hat er sich in einer Langzeitstudie den hauseigenen Internet Explorer im Vergleich zum Open-Source-Webbrowser Firefox vorgeknöpft. Auch hier ist das Ergebnis nicht überraschend: Im Internet Explorer müssen nach seiner Betrachtung weniger Sicherheitslücken geschlossen werden als in der Konkurrenz.

Jones erläutert in seinem Bericht Browser Vulnerability Analysis (PDF-Datei), Mozilla habe seit November 2004, als Firefox in der ersten Version erschien, 199 Sicherheitslücken geschlossen. Davon seien 75 kritisch gewesen, 100 mittelschwer und 24 von geringerer Bedeutung. Im gleichen Zeitraum seien es beim Internet Explorer insgesamt 87 Sicherheitslücken gewesen, davon 54 kritische, 28 mittelschwere und 5 weniger bedeutsame.

Der Microsoft-Sicherheitsexperte belässt es aber nicht bei absoluten Zahlen. Er schreibt, derzeit werde nur noch der Firefox in der aktuellen Version 2.0 mit Sicherheits-Updates versorgt. Würden die bei Mozilla gebräuchlichen Richtlinien, nach denen sechs Monate nach der Veröffentlichung einer neuen Hauptversion keine weiteren Updates für frühere bereit gestellt werden, bei Microsoft angewendet, hätte der Support für den Internet Explorer 6 im Mai 2007 enden müssen. Das sei aber nicht der Fall. Auch könnten noch alle Windows-2000-Nutzer, die nicht vom Internet Explorer 5.01 SP4 weichen wollen, auf Support bauen.

Als Gegenbeispiel führt Jones Red Hat Enterprise Linux Desktop 5 vor, das im März 2007 zusammen mit Firefox 1.5 ausgeliefert worden sei. Kurze Zeit später habe Mozilla den Support für diese Version eingestellt. Nun gebe es die Möglichkeit, wie sie Red Hat angewandt habe, Patches für den Firefox 2 auf die frühere Version zurückzuportieren oder die Nutzer zum Wechsel auf die neueste Version anzuhalten, so wie es Novell mache. Private Nutzer seien in dieser Hinsicht flexibler, während Unternehmenskunden beispielsweise oft für ihre Zwecke modifizierte Browser anwendeten und einen Umstieg langfristig angingen.

Jones räumt nicht nur seinem Unternehmen, sondern auch Mozilla ein, besonderen Wert auf Sicherheitsbelange zu legen. Beide Webbrowser zeigten im Zeitverlauf immer weniger Sicherheitslücken. Mozilla habe mit Window Snyder eigens eine Sicherheitsspezialistin engagiert. Allerdings habe sich nach seiner Überzeugung gezeigt, dass die oft vertretene Meinung nicht haltbar sei, der Firefox sei sicherer. Das könne als eines der Ergebnisse der Anfang 2002 von Microsoft-Gründer Bill Gates ausgegebenen Strategie des Trustworthy Computing gewertet werden, meint Jones.

Browser-Anteile auf heise online

User-Agent	November 2007	Oktober 2007	November 2006
Firefox 2.0	48,0 %	47,7 %	25,8 %
Internet Explorer 6.0x	14,7 %	15,1 %	23,6 %
Internet Explorer 7.0x	11,6 %	11,1 %	4,3 %
Opera 9.x	8,2 %	8,3 %	6,7 %
Gecko (Mozilla/Netscape 6 o.ä.)	3,7 %	3,9 %	4,9 %
Apple Safari	4,3 %	3,9 %	2,7 %
Firefox 1.5	1,9 %	2,1 %	20,6 %
KDE Konqueror	1,9 %	2,0 %	2,1 %
Firefox 1.0	0,6 %	0,7 %	3,2 %

Übrige Anteile entfallen auf andere oder unbekannte Webbrowser

Browser-Hersteller auf heise online

Hersteller	November 2007	Oktober 2007	November 2006
Mozilla & co (Gecko-Engine)	55,7 %	55,8 %	54,0 %
Microsoft	26,9 %	26,9 %	28,7 %
Opera	8,5 %	8,6 %	7,7 %
Apple	4,3 %	3,9 %	2,7 %
KDE	1,9 %	2,0 %	2,1 %
Netscape vor 6.x	0,2 %	0,2 %	0,2 %
diverse mobile Browser	1,0 %	0,9 %	0,9 %

Anteile der Betriebssysteme auf heise online im November 2007: Windows XP 61,2 %, Linux 13,5 %, Windows 2000 7,0 %, Mac OS 6,9 %, Windows Vista 5,6 %, andere/unbekannt 3,8 %, Windows .NET 1,4 %, Windows 98 0,7 %