Kontroverse um die Dauer offener Lücken in Internet Explorer und Firefox


Der Sicherheitsdienstleister Secunia veröffentlichte letzte Woche einen Bericht, wonach Mozilla Firefox, der Browser, der in Konkurrenz zu Microsoft Internet Explorer steht, im Jahr zwar mehr Lücken aufgewiesen haben soll, diese aber schneller als bei Internet Explorer geschlossen würden. Bei Heise Online lautete das Fazit “Firefox am fehlerhaftesten, aber schneller gepatcht”.

Kontrovers die Situation es seit heute morgen: Jeff Jones, Reporter bei Computerworld, veröffentlichte heute morgen (MEZ) seine Rechercheergebnisse.


Für seine Analyse verglich Jones die Veröffentlichungsdaten vom Bekanntwerden der Lücken bis hin zum Erscheinen eines Patches, das diese Lücken schließen sollte.

Es sei unverständlich, wie man zum Vergleich “Welcher Hersteller behebt Sicherheitslücken schneller?” Fälle außer Acht lassen kann, die vor 2008 geschehen sind. Jones nennt dazu drei Patches, die 631, 610, 597, 563, 536 und 412 Tage nach Bekanntwerden der Lücken veröffentlicht wurden. Diese Patches betrafen Firefox 2, der durch Firefox 3 abgelöst wurde. Obwohl zahlreiche Nutzer (bewusst!) noch nicht zu Firefox 3 gewechselt haben, waren sie gewissen Attacken schutzlos ausgesetzt, weil die Lücken zwar in Firefox 3 geschlossen waren, in Firefox 2 aber über ein Jahr offen blieben.


Mehrere Lücken sind vermutlich stillschweigend von Mozilla geschlossen worden, was die anzahl bekannter Lücken ein wenig reduzieren könnte.