Studie: Zero-Day-Server-Lücken halten sich in Linux zweimal länger als in Windows

Die Schwachstellen in Linux sind aber auch weit weniger zahlreich und weniger bedrohlich. Clientseitig führen IE, Flash und Java die Schwachstellen-Statistik an. Die FSFE kritisiert die der Statistik von Trustwave zugrunde liegende Zählweise.

Zero-Day-Lücken in Windows werden doppelt so schnell behoben wie solche im Linux-Kernel. Zu diesem Schluss kommt eine Statistik von Sicherheitsanbieter Trustwave. Sie bezieht sich auf alle serverseitigen Lücken, die im vergangenen Jahr behoben wurden.

Die gepatchten Schwachstellen im Linux-Kernel waren demnach im Schnitt 857 Tage bekannt, bevor die Entwickler sie abstellten. Zero-Day-Lücken in Windows schloss Microsoft dagegen nach durchschnittlich 375 Tagen.

„Das liegt teilweise an der verteilten Natur der Linux-Entwicklung“, sagt John Yeo, Direktor der Trustwave SpiderLabs. „Einem einzelnen Anbieter, der allein für ein Produkt verantwortlich ist, fällt es etwas leichter, Patches herauszubringen, weil der Prozess stark standardisiert ist. Dagegen könnte man den Linux-Kernel mit mehreren Modulen setzen und mit vielen verschiedenen Leuten, die für eine Korrektur zuständig sein könnten.“

trustwave-schwachstellen-patches-2012

Yeo betonte, dass Trustwave nicht behaupte, der Linux-Kernel sei weniger sicher als Windows. Schließlich sei nicht unbedingt jede Distribution von einem bestimmten Exploit betroffen. Zudem lässt sich dem Bericht von Trustwave entnehmen, dass im vergangenen Jahr nur neun kritische Schwachstellen im Linux-Kernel gesichtet wurden, aber 34 in Windows – und damit fast viermal so viele. Auch die durchschnittliche Bewertung der Gefährlichkeit von Sicherheitslücken lag bei Linux (7,68 Punkte nach CVSS) niedriger als bei Windows (8,41 Punkte).

Bedenken hinsichtlich der Trustwave-Statistik äußert auch Matthias Kirschner von der Free Software Foundation Europe (FSFE): „Zero-Day-Exploits zu messen ist etwas schwierig. Wie lange wussten die Entwickler schon von der Schwachstelle, bevor sie veröffentlicht wurde? Das beeinflusst die Dauer der Behebung ebenfalls. Wenn jemand vorher davon weiß, vielleicht weil er den Exploit selbst geschrieben hat, ist die Beseitigung viel einfacher – vielleicht liegt die Lösung sogar schon vor.“

Die Statistik bezieht sich allein auf serverseitige Anfälligkeiten. Die beiden Betriebssysteme waren 2012 hier deutlich langsamer als andere serverseitige Software, etwa PHP (90 Tage) oder WordPress (39 Tage). Cloientseitig steckten die meisten Schwachstellen in den Programmen Microsoft Internet Explorer, Adobe Flash und Oracle Java Runtime Environment. Alle drei benötigten im Schnitt je etwas über neun Tage, um Zero-Day-Lücken zu schließen.

[mit Material von Nick Heath, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Linux, Microsoft, Open Source, Server, Servers, Trustwave, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Studie: Zero-Day-Server-Lücken halten sich in Linux zweimal länger als in Windows

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *