1595174

Experte: Chrome & Firefox mehr Lücken als IE, aber...

02.10.2012 | 10:25 Uhr |

Chrome und Firefox haben 2011 die meisten Lücken gehabt, aber keinen einzigen Zero-Day-Angriff, analysiert ein Sicherheits-Experte. Ganz anders beim Internet Explorer.

Der Sicherheits-Blogger Brian Krebs vergleicht die Browser Google Chrome, Mozilla Firefox und Microsoft Internet Explorer. Zwar sehe es im ersten Moment so aus, als ob Chrome der unsicherste Browser sei. Krebs zitiert dazu einen Blogpost von Rik Ferguson von Trend Micro, demnach Chrome im Jahr 2011 275 neue Lücken aufwies. Firefox habe im gleichen Zeitraum nur 97 frische Lücken gehabt und der Internet Explorer stünde mit nur 45 Lücken am besten da. Bei den Zero-Day-Lücken sieht es schon ein wenig anders aus. Als Zero-Day-Lücken bezeichnet man Sicherheitslecks, von denen der Entwickler erst später als ein potentielle Angreifer erfährt. Laut Ferguson habe im Jahr 2011 Chrome 6 solcher Lücken gehabt, der Internet Explorer ebenfalls 6 und Firefox nur 4.

Bei der letzten Zero-Day-Lücke im IE hat Microsoft schnell reagiert

Wenn man sich anschaut, wie stark die Browser von der Ausnutzung von Zero-Day-Lücken betroffen sind, ergibt sich ein ganz anderes Bild. Krebs gibt an, keinerlei Hinweise gefunden zu haben, dass Chrome oder Firefox im Jahr 2011 Opfer auch nur einer Zero-Day-Attacke wurden. Er habe sich zusätzlich bei Google und Mozilla informiert und man habe ihm seine Recherchen bestätigt. Google habe gesagt, dass das Unternehmen noch nie einen Zero-Day-Angriff auf eine finale Version von Chrome gesehen habe. Es habe lediglich Zero-Day-Angriffe auf das in Chrome integrierte Flash gegeben. Das Flash-Problem hätten aber auch andere Browser-Entwickler gehabt. Krebs zitiert Mozilla, dass die letzte Zero-Day-Attacke auf Firefox im Oktober 2010 stattgefunden habe.
 
Der Internet Explorer sei der einzige Browser, der 2011 Ziel von Zero-Day-Angreifern wurde, schreibt Krebs. In den letzten 18 Monaten sollen gar sechs Zero-Day-Lücken des IEs ausgenutzt worden sein, soll Microsoft zugegeben haben. Bis auf einen seien alle als „kritisch“ eingestuft worden. Rechnet man die Lücken zusammen, seien IE-User 2011 152 Tage schutzlos gelassen worden, bis ein Patch die jeweilige Lücke schloss. An 89 Tagen zwischen Anfang 2011 und September 2012, zählt Krebs, habe es keine Überschneidungen beim Ausnutzen kritischer IE-Lücken gegeben. Also fast drei Monate lang seien IE-User ohne Patch gegen genutzte Zero-Days gewesen. Seine Zählung stuft Krebs zudem als konservativ ein – hätte er CVE-2011-0094 und CVE-2011-1345 mitgerechnet, wäre eine noch längere Zeitspanne herausgekommen.
 
Als Fazit aus seiner Analyse zieht Krebs den Schluss, dass man im akuten Notfall zumindest temporär den Browser wechseln sollte, bevor man sich einer Gefahr aussetzt.

0 Kommentare zu diesem Artikel
1595174