Symantecs Statistiken zur Browser-Sicherheit
Symantec hat die zehnte Ausgabe seines „Internet Security Threat"-Reports veröffentlicht, in welchem sich auch interessante Details zu den Sicherheitslücken der diversen Browser finden. Kein Browser kommt ungeschoren davon, doch insbesondere Microsofts Internet Explorer 6 weiß nicht zu überzeugen.
Zunächst findet sich auf Seite 8 des PDFs eine Statistik über die Verteilung der von Symantec registrierten Angriffe auf einzelne Browser durch das Ausnutzen von Sicherheitslücken. Demzufolge zielten 47% der Angriffe auf den Internet Explorer, 20% auf Mozilla Firefox und insgesamt 31% auf mehrere Browser ab. Über die Qualität eines Browsers können diese bisher genannten Zahlen jedoch nur bedingt Auskunft geben, da der Internet Explorer durch seinen immer noch enormen Verbreitungsgrad ein besonders attraktives Ziel ist. Beim Einschätzen des Gefahrenpotenzials können sie dennoch hilfreich sein.
Auf Seite 15 finden sich Statistiken zur Anzahl der Sicherheitslücken in den einzelnen Browsern gruppiert nach Halbjahren. In Mozilla-Browsern wurden im ersten Halbjahr 2006 die meisten Sicherheitslücken gefunden, dicht gefolgt von Microsofts Internet Explorer. Opera hingegen verweilt im dritten Quartal in Folge im einstelligen Bereich ohne dass eine Zunahme an gefundenen Sicherheitslücken zu erkennen ist.
Andere Faktoren können jedoch bedeutend wichtiger sein als die reine Anzahl an gefundenen Sicherheitslücken. Betrachtet man beispielsweise die durchschnittliche Anzahl der Tage, die zwischen der Veröffentlichung eines Exploits und der Bereitstellung des Reparatur-Patches seitens des Herstellers vergehen, ergibt sich ein völlig anderes Bild. Exploit-Code für Sicherheitslücken in Internet Explorer und Opera kursierte im zweiten Halbjahr 2005 im Schnitt schon mehrere Wochen vor Veröffentlichung eines Patches – im ersten Halbjahr 2006 hat sich dieses Bild jedoch deutlich entschärft. Spitzenreiter sind in dieser Disziplin die Mozilla-Browser, bei denen im Schnitt nur ein Tag zwischen Veröffentlichung eines Exploits und des zugehörigen Patches vergeht.
Was man in Symantecs Report gar nicht findet, ist eine Kategorisierung der Sicherheitslücken in Bezug auf ein mögliches Gefahrenpotenzial, welche jedoch von dem Sicherheits-Dienstleister Secunia gepflegt wird und bei der wiederum Opera positiv hervorsticht:
Insgesamt betrachtet kann die pure Anzahl an gefundenen Sicherheitslücken ebensowenig als alleiniges Kriterium Aufschluss über die Sicherheit eines Browsers geben wie die Gefährdungsdauer. Stattdessen gilt es, viele verschiedene Faktoren zu berücksichtigten. Hersteller müssen eine Balance finden zwischen der sofortigen Verfügbarkeit eines Patches und dessen ausführlichen Test auf eventuelle Nebenwirkungen. Darüber hinaus sind einige Verfechter von Open-Source-Software der Auffassung, dass in Mozilla-Browsern mehr Sicherheitslücken gefunden werden, weil jeder dessen Quelltext einsehen und auf Schwachstellen durchsuchen kann.
Noch vor Ende des Jahres werden Windows-XP-Systeme Version 7 des Internet Explorers als kritisches Update installieren, welcher in Sachen Sicherheit robuster ist als die veraltete Version 6. Da Version 7 nur unter Windows Vista und Windows XP funktioniert, müssen diejenigen, die noch mit Windows 98, Me oder 2000 unterwegs sind, entweder weiterhin mit dem Internet Explorer 6 auskommen oder aber sich mit Firefox oder Opera anfreunden. Diese beiden Browser konnten zwar in den hier vorgestellten Ergebnissen nicht durchweg überzeugen, sind zumindest dem Internet Explorer 6 jedoch überlegen.
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.