Microsoft-Bericht zur Windows-Sicherheit "irrsinnig"?

Der Microsoft Sicherheitsspezialist Jeff Jones hat vor kurzem eine Statistik veröffentlicht, wonach die Zahl der in Windows Vista entdeckten Schwachstellen seit der Markteinführung für Privatkunden niedriger gewesen sein soll als bei anderen Betriebssystemen wie Linux und Mac OS X. Nun hat ein anderer Sicherheitsexperte die Äußerungen und Feststellungen Jones' in Frage gestellt. Kristian Hermansen bezeichnete den von Jones veröffentlichen Bericht als "irrsinnig". Es sei zwar richtig, dass die Standard-Installation von Vista weniger öffentlich bekannte Sicherheitslücken enthalte und dass Linux auf den ersten Blick mehr Schwachstellen aufweise, dies liege jedoch in der Natur von freier Software.

Jones habe außerdem keinerlei "still beseitigte" Schwachstellen in seinen Bericht einfließen lassen, die Microsoft inzwischen bei Vista behoben haben könne, da die Redmonder dazu keine Informationen veröffentlichen. Hermansen forderte Jones auf, seinen Bericht noch einmal zu überarbeiten und dabei genauer vorzugehen.

Der unabhängige Sicherheitsspezialist bemängelte Jones' Bericht auch in vielen anderen Punkten. Seiner Meinung nach, ist schon der Ansatz, die Zahl der Lücken über den Zeitraum von sechs Monaten seit der Markteinführung aufzulisten, vollkommen falsch. Vista sei schließlich schon seit Ende November 2006 für Firmenkunden erhältlich.

Seine Zweifel an der Genauigkeit von Jones' Bericht untermauerte Hermansen mit einigen weiteren Argumenten. So sei der Netzwerk-Stack von Vista vollkommen neu entwickelt worden, wodurch er allein schon zahllose Sicherheitslücken enthalte, die allerdings bisher nicht der Öffentlichkeit bekannt sind und somit auch nicht in Jones' Report auftauchen.

Auch die von Jones' aufgestellte Behauptung, dass verschiedene Linux-Varianten deutlich mehr Schwachstellen aufweisen, wies Hermansen entschieden zurück. Es sei nicht Linux selbst, das die Lücken enthalte, sondern die mitgelieferten Programme anderer Entwickler aus dem Open-Source-Bereich.

Es sei kaum nachvollziehbar, warum über 100 Schwachstellen in Software wie PostgreSQL, MySQL, mailman, squid und emacs als Lücken von Linux gerechnet würden, obwohl diese in der normalen Standard-Installation vieler Distributionen gar nicht enthalten sind.

Auch bei den von Jones' untersuchten Linux-Varianten, die eher mit Vista zu vergleichen seien, setzt sich diese fragwürdige Zählweise weiter fort. So habe der Microsoft-Experte unter anderem zahlreiche kleinere Fehler in Firefox und anderen Programmen mitgezählt, die keinerlei Bedrohung für das Host-System darstellen. Ähnliches gelte auch im Falle von Mac OS X, so Hermansen weiter.

Weitere Informationen: Full Disclosure