Im März hatte Microsoft schon einmal Widerspruch provoziert: Unternehmen, die ihren Webserver unter Linux betreiben, seien einem größeren Risiko ausgesetzt als solche, die Windows für diese Aufgabe verwenden. Dies war das Ergebnis einer von Microsoft in Auftrag gegebenen Studie, die von Security Innovations durchgeführt wurde. Demnach hatte ein Webserver mit Windows Server 2003, Internet Information Server 6, SQL Server 2000 und ASP.net im Jahr 2004 deutlich weniger Lücken als eine Konfiguration mit Red Hat Enterprise Linux 3, Apache, MySQL und PHP. In der Standard-Konfiguration waren es laut der Studie bei der Windows-Konfiguration 52 Schwachstellen, bei Linux dagegen 174 Lücken. Bei der Minimalkonfiguration seien in der Windows-Umgebung 52 Schwachstellen, im Linux-Setup 132.
Auch bei der Messung der Anzahl der Tage, an denen bekannte Sicherheitslücken nicht gepatcht waren, liegt Microsoft laut der Studie vorne. Bei der Software der Redmonder seien es insgesamt 1600 Tage gewesen, bei Linux dagegen 12.000.
Bei Red Hat wollte man die Ergebnisse der Studie natürlich nicht unkommentiert hinnehmen. „Wir glauben, dass darin einige Ungenauigkeiten sind“, schrieb Mark Cox in seinem Blog. Cox leitet das Security Response Team bei Red Hat. So seien schwerwiegende Sicherheitslücken nicht von weniger ernsten unterschieden worden.
„In Red Hat Enterprise Linux 3 waren nur acht Sicherheitslücken, die sowohl von Microsoft als auch von Red Hat als schwerwiegend klassifiziert würden“, so Cox. „Davon wurden drei Viertel innerhalb eines Tages gefixt, der Durchschnitt lag bei acht Tagen.“ Als schwerwiegend werden Sicherheitslücken üblicherweise dann klassifiziert, wenn dadurch die Kontrolle über ein System möglich wird.
Entgegen der Aussage von Cox macht die Studie aber doch einen Unterschied zwischen den Schweregraden „hoch“, „mittel“ und „niedrig“. Dem Papier zufolge waren in der Microsoft-Software in allen Konfigurationen deutlich weniger ernste Schwachstellen als in der Linux-Umgebung.
Die Verfasser der Studie wiesen Kritik an der Durchführung der Studie zurück. „Die Methodik war so angelegt, dass andere die Ergebnisse validieren können – sie muss quantifizierbar und wiederholbar sein“, so Herbert Thompson, einer der Verfasser. Thompson ist Director of Research and Training bei Security Innovations. Mitgewirkt haben außerdem Security Test Engineer Fabien Casteran und Richard Ford, Computerwissenschaftler am Florida Institute of Technology.
Thompson räumte ein, dass die Sicherheit einer Umgebung in weiten Teilen von den Fähigkeiten des Administrators abhängt. Die Verfügbarkeit von Fachkräften entscheide dann über die optimale Plattform.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…