Zero-Day-Lücken in Windows werden doppelt so schnell behoben wie solche im Linux-Kernel. Zu diesem Schluss kommt eine Statistik von Sicherheitsanbieter Trustwave. Sie bezieht sich auf alle serverseitigen Lücken, die im vergangenen Jahr behoben wurden.
Die gepatchten Schwachstellen im Linux-Kernel waren demnach im Schnitt 857 Tage bekannt, bevor die Entwickler sie abstellten. Zero-Day-Lücken in Windows schloss Microsoft dagegen nach durchschnittlich 375 Tagen.
„Das liegt teilweise an der verteilten Natur der Linux-Entwicklung“, sagt John Yeo, Direktor der Trustwave SpiderLabs. „Einem einzelnen Anbieter, der allein für ein Produkt verantwortlich ist, fällt es etwas leichter, Patches herauszubringen, weil der Prozess stark standardisiert ist. Dagegen könnte man den Linux-Kernel mit mehreren Modulen setzen und mit vielen verschiedenen Leuten, die für eine Korrektur zuständig sein könnten.“
Yeo betonte, dass Trustwave nicht behaupte, der Linux-Kernel sei weniger sicher als Windows. Schließlich sei nicht unbedingt jede Distribution von einem bestimmten Exploit betroffen. Zudem lässt sich dem Bericht von Trustwave entnehmen, dass im vergangenen Jahr nur neun kritische Schwachstellen im Linux-Kernel gesichtet wurden, aber 34 in Windows – und damit fast viermal so viele. Auch die durchschnittliche Bewertung der Gefährlichkeit von Sicherheitslücken lag bei Linux (7,68 Punkte nach CVSS) niedriger als bei Windows (8,41 Punkte).
Bedenken hinsichtlich der Trustwave-Statistik äußert auch Matthias Kirschner von der Free Software Foundation Europe (FSFE): „Zero-Day-Exploits zu messen ist etwas schwierig. Wie lange wussten die Entwickler schon von der Schwachstelle, bevor sie veröffentlicht wurde? Das beeinflusst die Dauer der Behebung ebenfalls. Wenn jemand vorher davon weiß, vielleicht weil er den Exploit selbst geschrieben hat, ist die Beseitigung viel einfacher – vielleicht liegt die Lösung sogar schon vor.“
Die Statistik bezieht sich allein auf serverseitige Anfälligkeiten. Die beiden Betriebssysteme waren 2012 hier deutlich langsamer als andere serverseitige Software, etwa PHP (90 Tage) oder WordPress (39 Tage). Cloientseitig steckten die meisten Schwachstellen in den Programmen Microsoft Internet Explorer, Adobe Flash und Oracle Java Runtime Environment. Alle drei benötigten im Schnitt je etwas über neun Tage, um Zero-Day-Lücken zu schließen.
[mit Material von Nick Heath, ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
