Sicherheitslecks halten sich in Linux am längsten

Florian Kalenda,

Offenbar werden in Windows Fehler deutlich schneller behoben als in der quelloffenen Alternative Linux, wie eine Studie jetzt zeigt. Das bedeute jedoch nicht, dass Linux damit auch das unsicherere System sei.

Zero-Day-Lücken in Windows werden doppelt so schnell behoben wie solche im Linux-Kernel. Zu diesem Schluss kommt eine Statistik von Sicherheitsanbieter Trustwave. Sie bezieht sich auf alle serverseitigen Lücken, die im vergangenen Jahr behoben wurden.

Die gepatchten Schwachstellen im Linux-Kernel waren demnach im Schnitt 857 Tage bekannt, bevor die Entwickler sie abstellten. Zero-Day-Lücken in Windows schloss Microsoft dagegen nach durchschnittlich 375 Tagen.

“Das liegt teilweise an der verteilten Natur der Linux-Entwicklung”, sagt John Yeo, Direktor der Trustwave SpiderLabs. “Einem einzelnen Anbieter, der allein für ein Produkt verantwortlich ist, fällt es etwas leichter, Patches herauszubringen, weil der Prozess stark standardisiert ist. Dagegen könnte man den Linux-Kernel mit mehreren Modulen setzen und mit vielen verschiedenen Leuten, die für eine Korrektur zuständig sein könnten.”

trustwave-schwachstellen-patches-2012, Schwachstellen in Linux halten sich am längsten.
Schwachstellen in Linux halten sich am längsten. Quelle: Trustwave

Yeo betonte, dass Trustwave nicht behaupte, der Linux-Kernel sei weniger sicher als Windows. Schließlich sei nicht unbedingt jede Distribution von einem bestimmten Exploit betroffen. Zudem lässt sich dem Bericht von Trustwave entnehmen, dass im vergangenen Jahr nur neun kritische Schwachstellen im Linux-Kernel gesichtet wurden, aber 34 in Windows – und damit fast viermal so viele. Auch die durchschnittliche Bewertung der Gefährlichkeit von Sicherheitslücken lag bei Linux (7,68 Punkte nach CVSS) niedriger als bei Windows (8,41 Punkte).

Bedenken hinsichtlich der Trustwave-Statistik äußert auch Matthias Kirschner von der Free Software Foundation Europe (FSFE): “Zero-Day-Exploits zu messen ist etwas schwierig. Wie lange wussten die Entwickler schon von der Schwachstelle, bevor sie veröffentlicht wurde? Das beeinflusst die Dauer der Behebung ebenfalls. Wenn jemand vorher davon weiß, vielleicht weil er den Exploit selbst geschrieben hat, ist die Beseitigung viel einfacher – vielleicht liegt die Lösung sogar schon vor.”

Die Statistik bezieht sich allein auf serverseitige Anfälligkeiten. Die beiden Betriebssysteme waren 2012 hier deutlich langsamer als andere serverseitige Software, etwa PHP (90 Tage) oder WordPress (39 Tage). Cloientseitig steckten die meisten Schwachstellen in den Programmen Microsoft Internet Explorer, Adobe Flash und Oracle Java Runtime Environment. Alle drei benötigten im Schnitt je etwas über neun Tage, um Zero-Day-Lücken zu schließen.

[mit Material von Nick Heath, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de