Welches ist denn jetzt der sicherste Browser?

Der Sicherheits-Blogger Brian Krebs vergleicht die Browser Google Chrome, Mozilla Firefox und Microsoft Internet Explorer. Zwar sehe es im ersten Moment so aus, als ob Chrome der unsicherste Browser sei. Krebs zitiert dazu einen Blogpost von Rik Ferguson von Trend Micro, demzufolge Chrome im Jahr 2011 275 neue Lücken aufwies. Firefox habe im gleichen Zeitraum nur 97 frische Lücken gehabt und der Internet Explorer stünde mit nur 45 Lücken am besten da.

Bei den Zero-Day-Lücken sehe es schon ein wenig anders aus. Als Zero-Day-Lücken bezeichnet man Sicherheitslecks, von denen der Entwickler erst später als ein potenzieller Angreifer erfährt. Laut Ferguson habe im Jahr 2011 Chrome 6 solcher Lücken gehabt, der Internet Explorer ebenfalls 6 und Firefox nur 4.

Zero-Day-Exploits: Firefox und Chrome mit weisser Weste

IE, Chrome, Firefox: Wer ist der sicherste? Da scheiden sich die Geister Wenn man sich anschaut, wie stark die Browser von der Ausnutzung von Zero-Day-Lücken betroffen sind, ergibt sich ein ganz anderes Bild. Krebs gibt an, keinerlei Hinweise gefunden zu haben, dass Chrome oder Firefox im Jahr 2011 Opfer auch nur einer Zero-Day-Attacke wurden. Er habe sich zusätzlich bei Google und Mozilla informiert und man habe ihm seine Recherchen bestätigt. Google habe gesagt, dass das Unternehmen noch nie einen Zero-Day-Angriff auf eine finale Version von Chrome gesehen habe. Es habe lediglich Zero-Day-Angriffe auf das in Chrome integrierte Flash gegeben. Das Flash-Problem hätten aber auch andere Browser-Entwickler gehabt. Krebs zitiert Mozilla, gemäss denen die letzte Zero-Day-Attacke auf Firefox im Oktober 2010 stattgefunden habe.

Der Internet Explorer sei der einzige Browser, der 2011 Ziel von Zero-Day-Angreifern wurde, schreibt Krebs. In den letzten 18 Monaten sollen gar sechs Zero-Day-Lücken des Internet Explorers ausgenutzt worden sein, soll Microsoft zugegeben haben. Bis auf einen seien alle als «kritisch» eingestuft worden. Rechnet man die Lücken zusammen, seien Internet-Explorer-User im vergangenen Jahr 152 Tage schutzlos gelassen worden, bis ein Patch die jeweilige Lücke schloss. An 89 Tagen zwischen Anfang 2011 und September 2012, zählt Krebs, habe es keine Überschneidungen beim Ausnutzen kritischer Internet-Explorer-Lücken gegeben. Also fast drei Monate lang seien Internet-Explorer-User ohne Patch gegen genutzte Zero-Days gewesen. Seine Zählung stuft Krebs zudem als konservativ ein – hätte er CVE-2011-0094 und CVE-2011-1345 mitgerechnet, wäre eine noch längere Zeitspanne herausgekommen.

Als Fazit aus seiner Analyse zieht Krebs den Schluss, dass man im akuten Notfall zumindest temporär den Browser wechseln sollte, bevor man sich einer Gefahr aussetzt.