
Eric-Cartman
Threadstarter
- Dabei seit
- 22.06.2005
- Beiträge
- 8.644
- Alter
- 42


Jeff Jones, Strategy Director in Microsofts Security Technology Unit, hat die ersten 90 Tage von Windows Vista als einen Erfolg in Sachen Sicherheit verbucht. Der Microsoft-Mann hat dazu die Anzahl der Schwachstellen von Vista mit denen von Windows XP, Apples Mac OS X und drei Linux-Distributionen für die ersten drei Monate Laufzeit verglichen.
Nicht nur mit dem Marktstart von Vista ( wir berichteten ) ist man bei Microsoft zufrieden, auch in Sachen Sicherheit punktet das neue Betriebssystem. Dies lies jetzt Jeff Jones, Strategy Director in Microsofts Security Technology Unit, verlauten.
Jones hat die Anzahl der in verschiedenen OS aufgetauchten - und in den ersten 90 Tagen gepatchten Lücken - zusammengetragen. Verglichen hat er dabei Windows Vista, Windows XP, Mac OS X 10.4, Red Hat Enterprise Linux 4 Workstation, Ubuntu 6.06 LTS sowie Novell SuSE Linux Enterprise Desktop 10.
Seiner Zählung zufolge wurde Vista seit der Einführung in Unternehmen im Herbst letzten Jahres nur von einer Sicherheitslücke getroffen. Der Bug, der in der Anti-Malware-Engine vom Windows Defender steckte, wurde letzten Monat behoben.
Im Vergleich dazu, so Jones, wäre Windows XP in den ersten 90 Tagen von 14 Bugs betroffen gewesen, in Mac OS X 10.4 (Tiger) hätten sich 20 Stück gefunden, bei Red Hat 137, bei Ubuntu 71 und Suse hätte 80 Stück gehabt.
Selbst wenn man eine andere Art der Zählung vornehmen würde, schneide Vista immer noch besser ab, meint Jones - und zwar die Anzahl der Sicherheitslücken, die offen gelegt, aber noch nicht gepatcht wurden. Laut Jones wären es bei Vista dann fünf Bugs - ein gepatchter sowie vier veröffentlichte, aber noch nicht geschlossene Lücken (Stand Ende Februar). Bei XP waren es dagegen 18, bei Mac OS X 27, Red Hat kam auf 201, Ubuntu auf 100 und Suse auf 111 Stück.
"Als ein früher und vorläufiger Indikator, sind das gute Nachrichten für die Sicherheit in Windows Vista", so Jones in seinem Bericht .
Kritik an der Methode von Jones
Kritik an der Methode von Jones ließ nicht lange auf sich warten. Oliver Friedrichs, Senior Director bei Symantecs Security Response Team, erklärte, dass die bloße Anzahl der Schwachstellen, gleich, ob gepatcht oder nicht, nicht die ganze Geschichte erzählen würde.
"Der Schweregrad einer Sicherheitslücke spielt auch mit hinein", so Friedrichs. Damit meint er, dass eine einzige gravierende Schwachstelle zu einem neuen Sasser oder Blaster führen könnte. Während ein OS mit "einer größeren Zahl Bugs, die aber alle weniger gravierend sind, eine bessere Verteidigungs-Position insgesamt haben könnte".
Zudem gibt Friedrichs zu bedenken, dass es aufgrund des überwältigenden Marktanteils von Microsofts Produkten immer heikel sei, Windows mit irgendeinem anderen OS zu vergleichen. Lücken in Windows werden schlicht mit sehr viel höherer Wahrscheinlichkeit ausgenutzt. "Eine Schwachstelle mit hohem Bedrohungsgrad wird eventuell auf einem anderen OS nicht in dem selben Maße ausgenutzt,“ so Friedrichs.
Friedrichs hinterfragte auch, ob wirklich Gleiches mit Gleichem verglichen würde. Er verwies dabei auf den zweistufigen Rollout von Vista. "Diese Wertungsliste begann an dem Tag als es an Unternehmen geliefert wurde, aber sie (die Unternehmen) haben eine viel viel langsamere Adaptionsrate als die Endkunden." Und die Userbasis, die Vista installiert hat, ist in den ersten 90 Tagen nicht so angestiegen wie bei XP.
Cracker verschieben den Focus
Jones und Friedrichs stimmen in einem Punkt überein: 90 Tage sind ein recht früher Zeitpunkt, um einen Benchmark durchzuführen. Jones räumt ein: "Es ist zu früh, um ein vollständiges Bild zu bekommen."
Ähnlich äußerte sich auch Oliver Friedrichs: "Die ersten 90 Tages sind eventuell nicht der beste Maßstab." Weiter sagte er: "Mit den Sicherheits-Verbesserungen, die Microsoft implementiert hat, würde man ja erwarten, dass das OS sicherer ist."
Ihm stellt sich die Frage, ob das langfristig von Bedeutung ist. "Hacker bewegen sich weg davon, den Kern des OS anzugreifen, und konzentrieren sich darauf, die Applikationen von Dritten und die Treiber Dritter zu attackieren.“ Weiter sagte er: "In der Zukunft wird sich, obwohl es gut sein kann, dass Microsoft für Angriffe weniger getadelt werden wird, weil sie in Vistas Sicherheits investiert haben, der gesamte Umfang der Attacken und Exploits nicht verringern.“
Quelle: IDG Magazine Verlag GmbH/PC-WELT Online