Zero-Day-Lücken in Windows werden doppelt so schnell behoben wie solche im Linux-Kernel. Zu diesem Schluss kommt eine Statistik von Sicherheitsanbieter Trustwave. Sie bezieht sich auf alle serverseitigen Lücken, die im vergangenen Jahr behoben wurden.
Die gepatchten Schwachstellen im Linux-Kernel waren demnach im Schnitt 857 Tage bekannt, bevor die Entwickler sie abstellten. Zero-Day-Lücken in Windows schloss Microsoft dagegen nach durchschnittlich 375 Tagen.
“Das liegt teilweise an der verteilten Natur der Linux-Entwicklung”, sagt John Yeo, Direktor der Trustwave SpiderLabs. “Einem einzelnen Anbieter, der allein für ein Produkt verantwortlich ist, fällt es etwas leichter, Patches herauszubringen, weil der Prozess stark standardisiert ist. Dagegen könnte man den Linux-Kernel mit mehreren Modulen setzen und mit vielen verschiedenen Leuten, die für eine Korrektur zuständig sein könnten.”
Yeo betonte, dass Trustwave nicht behaupte, der Linux-Kernel sei weniger sicher als Windows. Schließlich sei nicht unbedingt jede Distribution von einem bestimmten Exploit betroffen. Zudem lässt sich dem Bericht von Trustwave entnehmen, dass im vergangenen Jahr nur neun kritische Schwachstellen im Linux-Kernel gesichtet wurden, aber 34 in Windows – und damit fast viermal so viele. Auch die durchschnittliche Bewertung der Gefährlichkeit von Sicherheitslücken lag bei Linux (7,68 Punkte nach CVSS) niedriger als bei Windows (8,41 Punkte).
Bedenken hinsichtlich der Trustwave-Statistik äußert auch Matthias Kirschner von der Free Software Foundation Europe (FSFE): “Zero-Day-Exploits zu messen ist etwas schwierig. Wie lange wussten die Entwickler schon von der Schwachstelle, bevor sie veröffentlicht wurde? Das beeinflusst die Dauer der Behebung ebenfalls. Wenn jemand vorher davon weiß, vielleicht weil er den Exploit selbst geschrieben hat, ist die Beseitigung viel einfacher – vielleicht liegt die Lösung sogar schon vor.”
Die Statistik bezieht sich allein auf serverseitige Anfälligkeiten. Die beiden Betriebssysteme waren 2012 hier deutlich langsamer als andere serverseitige Software, etwa PHP (90 Tage) oder WordPress (39 Tage). Cloientseitig steckten die meisten Schwachstellen in den Programmen Microsoft Internet Explorer, Adobe Flash und Oracle Java Runtime Environment. Alle drei benötigten im Schnitt je etwas über neun Tage, um Zero-Day-Lücken zu schließen.
[mit Material von Nick Heath, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
View Comments
Was interessieren richtige Zahlen, wenn graphisch was anderes "in Auge springt".
Oder was was soll diese Pseudo-Endschuldigung unter der Graphik???
Die "Macher" dieser Graphik hätten ja genauso nur für die Anzahl der kritischen Schwachstellen einen Balken zeigen könne und den Rest im Zahlenmeer verschwinden lassen...
Und dann?
Was also soll dieser Schwachsinn?
Liebe Redaktion: spart euch solchen Müll!