Zero-Day-Lücken in Windows werden doppelt so schnell behoben wie solche im Linux-Kernel. Zu diesem Schluss kommt eine Statistik von Sicherheitsanbieter Trustwave. Sie bezieht sich auf alle serverseitigen Lücken, die im vergangenen Jahr behoben wurden.
Die gepatchten Schwachstellen im Linux-Kernel waren demnach im Schnitt 857 Tage bekannt, bevor die Entwickler sie abstellten. Zero-Day-Lücken in Windows schloss Microsoft dagegen nach durchschnittlich 375 Tagen.
“Das liegt teilweise an der verteilten Natur der Linux-Entwicklung”, sagt John Yeo, Direktor der Trustwave SpiderLabs. “Einem einzelnen Anbieter, der allein für ein Produkt verantwortlich ist, fällt es etwas leichter, Patches herauszubringen, weil der Prozess stark standardisiert ist. Dagegen könnte man den Linux-Kernel mit mehreren Modulen setzen und mit vielen verschiedenen Leuten, die für eine Korrektur zuständig sein könnten.”
Yeo betonte, dass Trustwave nicht behaupte, der Linux-Kernel sei weniger sicher als Windows. Schließlich sei nicht unbedingt jede Distribution von einem bestimmten Exploit betroffen. Zudem lässt sich dem Bericht von Trustwave entnehmen, dass im vergangenen Jahr nur neun kritische Schwachstellen im Linux-Kernel gesichtet wurden, aber 34 in Windows – und damit fast viermal so viele. Auch die durchschnittliche Bewertung der Gefährlichkeit von Sicherheitslücken lag bei Linux (7,68 Punkte nach CVSS) niedriger als bei Windows (8,41 Punkte).
Bedenken hinsichtlich der Trustwave-Statistik äußert auch Matthias Kirschner von der Free Software Foundation Europe (FSFE): “Zero-Day-Exploits zu messen ist etwas schwierig. Wie lange wussten die Entwickler schon von der Schwachstelle, bevor sie veröffentlicht wurde? Das beeinflusst die Dauer der Behebung ebenfalls. Wenn jemand vorher davon weiß, vielleicht weil er den Exploit selbst geschrieben hat, ist die Beseitigung viel einfacher – vielleicht liegt die Lösung sogar schon vor.”
Die Statistik bezieht sich allein auf serverseitige Anfälligkeiten. Die beiden Betriebssysteme waren 2012 hier deutlich langsamer als andere serverseitige Software, etwa PHP (90 Tage) oder WordPress (39 Tage). Cloientseitig steckten die meisten Schwachstellen in den Programmen Microsoft Internet Explorer, Adobe Flash und Oracle Java Runtime Environment. Alle drei benötigten im Schnitt je etwas über neun Tage, um Zero-Day-Lücken zu schließen.
[mit Material von Nick Heath, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Gemeinsam mit Partnern wurden mehrere Branchenlösungen erstellt, die Nachhaltigkeitsdaten zentral erfassen und verarbeiten sollen.
Studie von Palo Alto Networks zeigt Deutschlands größte Cyberrisiken 2025.
Schätzungen des Sicherheitsdienstleisters Kaspersky zufolge wurden in den letzten beiden Jahren Daten von 2,3 Millionen…
Der IT-Mittelstand sollte erkennen, wie sich selbst kleine Investments in Frauen- und Diversitätsförderung bezahlt machen,…
Mehrheit der deutschen Großstädte nutzt inzwischen intelligente Ampeln und Verkehrs-Apps. Auch Sharing-Angebote nehmen zu.
GoDaddy-Studie zeigt: Unternehmerinnen in Deutschland, Österreich und der Schweiz setzen mit Zuversicht auf KI und…
View Comments
Was interessieren richtige Zahlen, wenn graphisch was anderes "in Auge springt".
Oder was was soll diese Pseudo-Endschuldigung unter der Graphik???
Die "Macher" dieser Graphik hätten ja genauso nur für die Anzahl der kritischen Schwachstellen einen Balken zeigen könne und den Rest im Zahlenmeer verschwinden lassen...
Und dann?
Was also soll dieser Schwachsinn?
Liebe Redaktion: spart euch solchen Müll!