Jeff Jones ist wieder da. Jeff ist der Komiker, der schon mal aufgefallen ist, als er behauptet hat, Microsoft würde Sicherheitslücken schneller schließen als die Linux-Distributoren. Der Originaltext zum Nachlesen und Lachen findet sich auf csoonline.com.
Diesmal hat er eine Grafik gemalt, nach der Firefox viel unsicherer ist als der Internet Explorer. Schauen wir uns die Werte mal an:
Browser | High Security Vuln | Medium Security Vuln | Low Security Vuln |
---|---|---|---|
Firefox (Quick Upgrade) | 73 | 96 | 24 |
Firefox (Slow Upgrade) | 74 | 94 | 24 |
Internet Explorer (Quick Upgrade) | 38 | 19 | 4 |
Internet Explorer (Quick Upgrade) | 42 | 19 | 4 |
Und wenn man sich die nackten Zahlen so anschaut, könnte man tatsächlich meinen, dass der Internet Explorer viel weniger Probleme hat als Firefox. Der komplette Text als PDF findet sich auf der Microsoft Technet Seite.
Natürlich vergleicht Jeff mal wieder Äpfel mit Birnen. Während Microsoft die Lücken nur einmal im Monat schließt und deshalb für 15 Lücken nur einen (übrigens vollkommen intransparenten) Hotfix benötigt, gibt die Mozilla Foundation für jede Lücke direkt ein Update heraus, so dass die Zahl der Lücken natürlich viel größer aussieht. Dazu kommt, dass Microsoft für intern entdeckte Fehler kein Advisory herausgibt, Mozilla jedoch schon. Auch das bläht die Anzahl der Lücken auf. Mike Shaver, der Cheftechnologe der Mozilla Foundation erklärt in seinem Blog alle Schwächen der Zählweise. Danach wäre der Internet Explorer 4 sogar das sicherste Produkt, weil Microsoft in den letzten Jahren keinen einzigen Fix mehr veröffentlichen musste.
Ich frage mich ja langsam ernsthaft, was will Jeff Jones mit diesen leicht zu durchschauenden Kindergartenmethoden erreichen? Ok, er veröffentlicht das auf blogs.csoonline.com, einer Webseite die sich an „Security Executives“ wendet. Also vermutlich Leute, die von praktischer Sicherheit nichts mehr verstehen sondern bei einem harmlosen uralten Denial-of-Service Angriff, den ihr ISO 27001 Auditor vorführt, bereits in Panik verfallen. Aber ist Microsoft wirklich so verzweifelt, dass ihnen nichts besseres mehr einfällt?
Zugegeben, mit einem Punkt hat auch Jeff recht. Microsoft wird besser, was die IT-Sicherheit betrifft. Leider nicht transparenter, aber zumindest etwas sicherer. Das zeigen unter anderem die vermehrt auftretenden Exploits für Quicktime, Flash und Co. Die Angreifer weichen inzwischen auf schwächere Ziele aus.
PS: Ja, ich habe eine ähnliche Tabelle mit genauso unsinnigen Zahlen vor einiger Zeit für Virenscanner gemacht. Nein, ich habe nicht behauptet, Aladdin eSafe wäre deshalb der beste Virenscanner. Vielleicht ist er es, ich weiß es nicht. Ich verwende Avira und F-Secure.
Eine „Untersuchung“ die von den „Alles-ausser-Windows-ist-Dreck“-Kollegen, also denen, die meiner Meinung nach aufgrund Ihrer Engstirnigkeit den falschen Job haben, mit einem erfreuten Auflachen an alle anderen IT-Kollegen vermailt wurde.
Comment by ports — 3. Dezember 2007 @ 21:56
Echt? Na das kann man doch einfach kontern.
Beispielsweise mit den Office-Lücken laut Secunia. Excel 2003: 13, Word 2003: 11, Powerpoint 2003: 8, Access 2003: 8, macht insgesamt 40 Lücken. OpenOffice 2.x komplett: 6 Lücken. Mein Gott, OpenOffice ist ja mehr als 6x so sicher wie Microsoft Office. Macht genauso viel Sinn aber wenn man eine coole Grafik draus macht fällt vermutlich sogar jemand drauf rein.
Comment by Christian — 3. Dezember 2007 @ 23:26
Heise hat sich des Themas jetzt auch angenommen und zerlegt recht fundiert die Argumente von Jeff:
„Doch in vielen Patches zu ActiveX-Komponenten fasste Microsoft wie in MS05-038/CAN-2005-1990 gleich einen ganzen Schwung zu einem Patch zusammen. Der CVE-Eintrag zählt für diesen Patch 17 COM-Objekte auf, in CAN-2005-2127 finden sich sogar 32.“
und noch krasser:
„Für eine Sicherheitslücke in Windows, die erst Internet Explorer eingeschleppt hat, hat Jones Firefox ein kritisches Sicherheitsloch angerechnet, der verantworliche Internet Explorer hingegen kam ohne Malus davon.“
Und wenn sich die Zahlen so manipulieren lassen, dann ist natürlich klar, wer besser abschneidet. Wir können froh sein, daß dieser Jeff nicht für Deutschland an der Pisastudie teilgenommen hat.
Comment by Christian — 4. Dezember 2007 @ 10:00
Kommentare gesperrt wegen Spam
Comment by Christian — 3. März 2009 @ 09:32