News Symantecs Statistiken zur Browser-Sicherheit

[Steffen]

Symantec hat die zehnte Ausgabe seines „Internet Security Threat"-Reports veröffentlicht, in welchem sich auch interessante Details zu den Sicherheitslücken der diversen Browser finden. Kein Browser kommt ungeschoren davon, doch insbesondere Microsofts Internet Explorer 6 weiß nicht zu überzeugen.

Zur News: Symantecs Statistiken zur Browser-Sicherheit

 

[spaceman4u]

Die vorhandene kriminelle Energie wird nicht *aus Spaß* nur Angriffsmöglichkeiten ausnützen, wo sie sich bieten - sie wird ihren Einsatz auch davon abhängig machen, wie die Schwachstellen marktverbreitet sind, damit der beabsichtigte *Unfug* sich auch lohnt. Insofern hat Firefox mittlerweile mehr zu fürchten als früher

 

[k2-O]

das bei closes source software soviele lücken gefunden werden verwundert mich doch...

 

[baFh]

selbstverständlich war klar, das auch andere browser wie ff oder opera nicht perfekt sind. im gegenteil, es finden sich im ff mehr lücken als im IE. aber aufgrund der minimalen gefährdungsdauer im ff ist es unwahrscheinlicher, sich mit dem ff eine seuche auf den rechner zu holen als mit dem IE, wo patches lange lange endlos lange auf sich warten lassen.

also gilt mal wieder auf die frage, welchen browser man nutzen sollte: alles, nur nicht den IE

baFh

 

[#basTi]

Aus den 2 Statistiken kommt Opera klar als Sieger heraus!

Fühl mich nur bestätigt mit meinem browser ^^

 

[noxon]

Fühl mich nur bestätigt mit meinem browser ^^

Ich auch.

Was man bei der Bereitstellungsdauer von Patches aber noch beachten sollte ist, dass bei weitem nicht jeder sofort diese Patches installieren. Von daher finde ich es wichtiger das erst gar keine Sicherheitslücken bekannt werden, als dass viele Sicherheitslücken aufgedeckt und sofort gefixt werden.

Wenn man diese Fixes immer direkt einspielt ist das eine gute Sache, aber ich bezweifle, dass das jeder tut. Zumindest der 0815 User wird sich FF nur bei neuen Major oder Minor-Versionen runterladen.

In sofern bin ich auch damit einverstanden, dass bei CSS einige Sicherheitslücken unentdckt bleiben, während bei OSS eventuell 10 Lücken bekannt sind, die aber nur von 50% der User geschlossen wurden.

 

[vors]

erwähnt wurde aber nicht die schwere der löcher, kontrolle über einen explorer ist ja praktisch das gesamte system zu übernehmen, das kann man nicht vergleichen mit einem überlisteten popup blocker oder ähnlichem.

 

[noxon]

erwähnt wurde aber nicht die schwere der löcher

Dazu musst du die Links anklicken. Dann kommst du auf die Secunia-Seite, auf der das noch einmal aufgeschlüsselt wird.

 

[blabla]

Oh mein Gott,
ich hasse Symantecs, es geht keine Woche rum ohne dass die auf Mozilla oder Vista rumhacken!
Es sollte sich mal jemand mit deren Software rumplagen und da jede Woche einen Bericht darüber
veröffentlichen, wie grottenschlecht deren Programme sind!

Das letzte noch brauchbare Programm von denen war Ghost 2003 (oder wars 2002?).
Alles was danach kam, egal ob Ghost Abklatsch oder Security Suite ist ein Verbrechen!

 

[-oSi-]

Die Meldung beweisst mal wieder, das keine Software fehlerfrei ist.
So sollte sie auch behandelt werden.

Das geht auch ohne dass man sich aufregt.

 

[hoschieee]

"...Darüber hinaus sind einige Verfechter von Open-Source-Software der Auffassung..."

Das ist doch typisch computerbase.de, erstens sind das nicht Einige, zweitens ist das Subjektiv. Drittens waere es objektiv einfach zu sagen dass Moziall OSS ist, und deswegen jeder Bugs im Quelltext suchen kann und das ohne aufwendige Dekompilierung oder Schuesse ins Blaue.

Aber der IE7 wird alles besser machen, gell ;-)

@6:
Sicherheitspatches werden auch bei OSS gesammelt, falls diese weniger kritisch sind und dann bei Gelegenheit mit einem dringenden Patch herausgebracht. Hochgefaehrliche Luecken werden zur Not auch im Bugzilla versteckt, gefixt, getestet und dann mit einer Mitteilung herausgegeben und der Bugzilla-Eintrag oeffentlich gemacht.

Security_by_Obsurity ist keine Loesung, es ist ein dreckiges und gefaehrliches Spiel mit dem Teufel, bleibt es aber in kontrollierten Rahmen ist es ein gute Moeglichkeit stabile Versionen vernuenftig zu verwalten.

Einzig mir bekanntes Gegenbeispiel ist der Linux-Kernel seit der Einfuehrung des Sucker-Trees, aber dieses Chaos geht inzwischen einigen zu weit und beruhigt sich jetzt wohl auch. Zudem greifen die Maintainer da jetzt wohl durch und bereiten ein Machtwort vor, die Entwickler sollen ihren Code besser durchchecken.
Das krasse Gegenbeispiel ist Microsoft, da werden hochgradig gefaehrliche Luecken in JPEG-Libs des IE einfach mal zwei Jahre verschwiegen, bis es dann zum GAU kommt. Und das trotz mehrfacher Aufforderung durch die Entdecker des Bugs.

Glaubt niemals eine Software waere sicher, pro 10.000 Zeilen Code gibts auch immer mehrere Fehler, und davor schuetzt euch keine Personal-Firewall und auch nicht die tollste Programmiersprache der Welt (nein: Java und C# auch nicht!).
Man kann die Sicherheit nur durch ein sauberes Design und gute Codequalitaet verbessern, und durch ein wachsamen vernuenftigen Umgang mit den entdeckten Fehlern.

 

[RaptorTP]

in der zeit gab es doch auch schon firefox , hätte ich gern mit drin gesehen ...

 

[hoschieee]

@12: O_o

@9: Was meinst du warum sich alle daran versuchen MacOS und Linux schlecht zu machen, je mehr Angst die Leute haben um so eher kaufen sie sich irgend einen Sicherheitsmuell (Viren/Trojaner/Spy/Adware-Scanner, Personal-Firewalls, Spam-Manager, Loggingsoftware...). Fuer die ist pure Unsicherheit die Unternehmensgrundlage. So lange sich alle furechten ist der Umsatz stabil.

Entweder das System ist relativ sicher, oder eben nicht. Da aender auch die installation von 100 zusaetzlichen Sicherheitsprogrammchen und Sicherheitscentern-Quatsch nichts.

 

[Steffen]

"...Darüber hinaus sind einige Verfechter von Open-Source-Software der Auffassung..."

Das ist doch typisch computerbase.de, erstens sind das nicht Einige, zweitens ist das Subjektiv. Drittens waere es objektiv einfach zu sagen dass Moziall OSS ist, und deswegen jeder Bugs im Quelltext suchen kann und das ohne aufwendige Dekompilierung oder Schuesse ins Blaue.

Genau, einige haben eine subjektive Meinung. Aus diesem Grund mache ich mir deren Aussagen nicht zu Eigen, denn Sicherheitslücken in Browsern werden vermehrt durch Fuzzying gefunden, wozu man keinen Zugriff auf den Quellcode benötigt. Es wäre also schlichtweg falsch, die Verfügbarkeit des Quellcodes als alleinige Entschuldigung für zahlreiche gefundene Sicherheitslücken anzuführen -- damit es dann deiner Version der Wahrheit entspricht. Dass die Verfügbarkeit des Quelltexts eine Rolle spielen kann wird in dem Abschnitt erwähnt, den du aus deinem Zitat weggelassen hast.

 

[ChilliConCarne]

im gegenteil, es finden sich im ff mehr lücken als im IE.

Quellen bitte.

 

[Steffen]

Diese News eventuell? ^^

 

[ChilliConCarne]

Diese News eventuell? ^^

Huch, die Überschrift über der Grafik sollte man erstmal lesen ^^
Da meinte ich doch glatt, dass es sich um die im Text erwähnten Angriffzahlen handelt

Kann ich jedoch erlich gesagt nicht ganz glauben, dass die Mozilla Reihe mehr Sicherheitslücken beinhalten soll. Allein wegen Active X etc. und den immer wieder auftretenden Meldungen über Sicherheitslücken im IE.
(Ja ja, ich weiß, Bugzilla ist groß)

EDIT: Gut, im Bericht wird ja erwähnt, dass all die gefundenen Lücken über einen Haufen geschert wurden. Jetzt kann ich dem Ganzen schon irgendiwe mehr abgewinnen.

 

[NVD]

Die Gefährdungsdauer zwischen IE und FF gefällt mir.

 

[flooo]

also ganz interesant finde ich safari. nur leider gibts den ja nicht für windows, oder?

 

[ThePikeman]

@17
Warum sollte Mozilla nicht mehr Fehler haben?
Hängt hauptsächlich von der Schwere der Fehler ab und dazu wird keine Aussage gemacht.
Auf die Nachricht können sich die Marketingfuzzies von MS aber einen runterholen, ich kann mir schon die Broschüren vorstellen.