Microsofts Browser-Studie in der Kritik

EnterpriseOpen SourceProjekteService-ProviderSoftwareSoftware-Hersteller

Das Linux-Lager hat mit heftiger Kritik auf die Browser-Studie von Microsoft reagiert, wonach der Internet Explorer sicherer sein soll als der Open-Source-Browser Firefox.

Microsofts hatte jüngst die Schwachstellen im hauseigenen mit denen des Mozilla-Browsers verglichen und kam dabei zu dem Schluss, dass beide Browser schwerwiegende Fehler aufweisen. “Mozilla hat aber im gleichen Zeitraum mehr Fehler gepatcht als Microsoft. Das beweist, dass Firefox anfälliger ist als der Internet Explorer”, lautete das Fazit.

Doch laut Jonathan Oxer, technischer Direktor bei Internet Vision Technology, ist die Studie irreführend. Denn Microsoft neige dazu seine Patches zu bündeln, was zu einer durchschnittlich niedrigeren Anzahl in den besagten Zeiträumen führe. “Wenn es darum geht eine Schwachstelle zu beheben, werden oft mehrere Fehler in einem Schlag ausgebessert”, erklärte er.

Deshalb schlägt Oxer eine andere Methode vor, um Software in Sachen Sicherheit zu bewerten. Jede Schwachstelle soll einen Wert bekommen, der dadurch bestimmt wird, wie viel Zeit zwischen der Entdeckung des Fehlers bis zum Patch vergeht und wie schwerwiegend die Sicherheitslücke ist. Seiner Ansicht nach würde das ein wesentlich anderes Ergebnis beim Vergleich der beiden Browser hervorbringen.

Oxer hat auch die Kritik an der kürzeren Supportdauer des offenen Browsers zurückgewiesen. Mozilla selber würde zwar den Support für eine veraltete Version sechs Monate nach der Veröffentlichung der neuen Version einstellen, Sicherheitsupdates wären danach aber trotzdem verfügbar.

So bietet Ubuntu 6.06 den Firefox-Support für die Version 1.5 bis 2009 an, bei Suse Linux läuft die Unterstützung sogar bis 2013. “Einer der Vorteile von Open Source ist, dass es Anbieter wie Linux-Distributoren gibt, die selbst dann noch Support bieten, wenn Mozilla diesen nicht mehr bietet”, erklärte Oxer. Dies beziehe sich zwar vielfach auf Unternehmenskunden, dafür sei der Lebenszyklus einer Software für Privatanwender auch eher unbedeutend.