Browser-Sicherheit: Streit zwischen Microsoft und Mozilla
Microsoft hatte in seinem Internet-Explorer-Blog(öffnet im neuen Fenster) auf eine Studie verwiesen, wonach der Redmondsche Browser sicherer sei als Firefox. Verschwiegen wurde dabei, dass der Studienautor bei Microsoft angestellt und dort für den Sicherheitsbereich zuständig ist. Unter anderem an dieser Tatsache regt sich Unmut beim Mozilla-Team. So beklagt sich Paul Kim(öffnet im neuen Fenster), Vice President des Marketing-Bereichs bei Mozilla, dass dem Leser des Blog-Eintrags von Microsoft verschwiegen wird, welche Rolle der Studienautor Jeff Jones spielt, der eben für Microsoft tätig ist.
Aber auch inhaltlich kritisieren die Firefox-Macher(öffnet im neuen Fenster) die von Microsoft erstellte Studie. In der Studie(öffnet im neuen Fenster) von Jeff Jones wurde ermittelt, wie viele Sicherheitslecks seit Oktober 2004 in Firefox und wie viele Lücken seitdem im Internet Explorer beseitigt wurden. Dabei wurde auch der Gefährdungsgrad berücksichtigt. Demnach wurden 75 gefährliche, 100 mittelschwere sowie 24 eher harmlose Sicherheitslöcher in Firefox beseitigt. Beim Internet Explorer waren es in diesem Zeitraum 54 gefährliche, 28 mittelschwere und 5 eher harmlose Sicherheitslecks gewesen, die korrigiert werden mussten. Das Fazit der Microsoft-Studie: Der Internet Explorer ist sicherer, weil in diesem Zeitraum weniger Sicherheitslücken geschlossen werden mussten.
Die Firefox-Macher erwidern, dass sich durch Zählen der Sicherheitslecks nicht die Sicherheit eines Browsers beurteilen lasse. Bedeutender sei, wie lange es dauere, bis bekannte Sicherheitslecks geschlossen werden. Und hier bezieht sich Mozillas Sicherheits-Chef Mike Schroepfer(öffnet im neuen Fenster) auf die jüngst zurückliegende Beseitigung der URI-Sicherheitslücke.
Zunächst wurde das Sicherheitsloch nur in Firefox vermutet und die Macher haben einen Workaround angeboten, obwohl der Fehler durch den Internet Explorer verursacht wurde und sich auf die gesamte Windows-Plattform auswirkt. Drei Monate nach Bekanntwerden der Sicherheitslücke hatte Microsoft eingeräumt, dass der Fehler durch den Internet Explorer verursacht wurde. Nach einem weiteren Monat wurde der Fehler beseitigt. Somit hatte es insgesamt vier Monate gedauert, bis der Fehler korrigiert wurde.
Zudem zitiert Schroepfer eine Analyse von Secunia(öffnet im neuen Fenster), in der ermittelt wurde, welche Zeitabstände verstrichen sind, bis Microsoft einen Patch zum Schließen einer Sicherheitslücke im Browser veröffentlicht hat. Hier schneidet Redmond zumeist deutlich schlechter ab als Mozilla, die sich bemühen, bekannte Sicherheitslücken möglichst schnell zu korrigieren. Hierbei macht sich auf Seiten von Microsoft negativ bemerkbar, dass der Konzern bereits seit längerem Patches nur noch ein Mal im Monat veröffentlicht.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.