Internet Explorer war an 284 Tagen des letzten Jahres unsicher

Allgemein

Selbst wenn der Benutzer alle angebotenen Patches installierte, war Microsofts Internet Explorer 2006 nur an rund 80 Tagen frei von ernsthaften Sicherheitsproblemen.

Brian Krebs, Autor der Blog-Kolumne “Security Fix” bei der Washington Post, unterzog sich zum Jahreswechsel der Mühe, eine umfassende Statistik zu erstellen. Sie fasst zusammen, wie lange die Borg benötigten, um die aufgerissenen Sicherheitslöcher ihrer Produkte im Vorjahr zu flicken. Als erstes wertete er die Daten von Microsofts Browser aus, der trotz seiner angeschlagenen Sicherheit noch immer einen Marktanteil von rund 80 Prozent in der Online-Welt hält.

Die Post kontaktierte zahlreiche Sicherheitsforscher und wertete ihre Berichte aus. Ergebnis: Bei Microsoft saßen sie neun Monate des Jahres auf nicht geschlossenen schweren Sicherheitslücken, ohne bei der Lösung des Problems zu helfen.

Mindestens 98 Tage des letzten Jahres gab es keine Software-Fixes für Programmfehler, bei denen Microsoft bekannt war, dass sie von Kriminellen benutzt werden, um persönliche und finanzielle Daten zu rauben.

Zehnmal wurden Anweisungen dafür, wie ein schweres Sicherheitsproblem zu beheben war, sogar zunächst von privater Seite veröffentlicht, bevor Microsoft einen Patch lieferte.

Bei der quelloffenen IE-Alternative Firefox war die Sicherheitslage 2006 weit besser. Es gab nur einen einzigen Zeitraum von neun Tagen, in dem Exploit-Code für die Nutzung einer kritischen Sicherheitslücke in Umlauf war, bevor Mozilla das Problem löste.

Die Washington Post stellte ihre Daten auch Verantwortlichen von Microsoft zur Verfügung, die sie gar nicht in Abrede zu stellen versuchten. Als nächstes will sich Brian Krebs die Sicherheitsprobleme von Microsoft Office im letzten Jahr vornehmen, und wie die Borg darauf (nicht) reagierten.

(adaptiert nach Nick Farrell/bk)

Linq

Washington Post

Internet Explorer Vulnerabilities in 2006 (Grafik)