News 02.10.2012, 11:20 Uhr

Welches ist denn jetzt der sicherste Browser?

Chrome und Firefox haben 2011 die meisten Lücken gehabt, aber keinen einzigen Zero-Day-Angriff, analysiert ein Sicherheitsexperte. Ganz anders beim Internet Explorer.
Der Sicherheits-Blogger Brian Krebs vergleicht die Browser Google Chrome, Mozilla Firefox und Microsoft Internet Explorer. Zwar sehe es im ersten Moment so aus, als ob Chrome der unsicherste Browser sei. Krebs zitiert dazu einen Blogpost von Rik Ferguson von Trend Micro, demzufolge Chrome im Jahr 2011 275 neue Lücken aufwies. Firefox habe im gleichen Zeitraum nur 97 frische Lücken gehabt und der Internet Explorer stünde mit nur 45 Lücken am besten da.
Bei den Zero-Day-Lücken sehe es schon ein wenig anders aus. Als Zero-Day-Lücken bezeichnet man Sicherheitslecks, von denen der Entwickler erst später als ein potenzieller Angreifer erfährt. Laut Ferguson habe im Jahr 2011 Chrome 6 solcher Lücken gehabt, der Internet Explorer ebenfalls 6 und Firefox nur 4.
Zero-Day-Exploits: Firefox und Chrome mit weisser Weste
Wenn man sich anschaut, wie stark die Browser von der Ausnutzung von Zero-Day-Lücken betroffen sind, ergibt sich ein ganz anderes Bild. Krebs gibt an, keinerlei Hinweise gefunden zu haben, dass Chrome oder Firefox im Jahr 2011 Opfer auch nur einer Zero-Day-Attacke wurden. Er habe sich zusätzlich bei Google und Mozilla informiert und man habe ihm seine Recherchen bestätigt. Google habe gesagt, dass das Unternehmen noch nie einen Zero-Day-Angriff auf eine finale Version von Chrome gesehen habe. Es habe lediglich Zero-Day-Angriffe auf das in Chrome integrierte Flash gegeben. Das Flash-Problem hätten aber auch andere Browser-Entwickler gehabt. Krebs zitiert Mozilla, gemäss denen die letzte Zero-Day-Attacke auf Firefox im Oktober 2010 stattgefunden habe.
Der Internet Explorer sei der einzige Browser, der 2011 Ziel von Zero-Day-Angreifern wurde, schreibt Krebs. In den letzten 18 Monaten sollen gar sechs Zero-Day-Lücken des Internet Explorers ausgenutzt worden sein, soll Microsoft zugegeben haben. Bis auf einen seien alle als «kritisch» eingestuft worden. Rechnet man die Lücken zusammen, seien Internet-Explorer-User im vergangenen Jahr 152 Tage schutzlos gelassen worden, bis ein Patch die jeweilige Lücke schloss. An 89 Tagen zwischen Anfang 2011 und September 2012, zählt Krebs, habe es keine Überschneidungen beim Ausnutzen kritischer Internet-Explorer-Lücken gegeben. Also fast drei Monate lang seien Internet-Explorer-User ohne Patch gegen genutzte Zero-Days gewesen. Seine Zählung stuft Krebs zudem als konservativ ein – hätte er CVE-2011-0094 und CVE-2011-1345 mitgerechnet, wäre eine noch längere Zeitspanne herausgekommen.
Als Fazit aus seiner Analyse zieht Krebs den Schluss, dass man im akuten Notfall zumindest temporär den Browser wechseln sollte, bevor man sich einer Gefahr aussetzt.



Kommentare
Avatar
since1990
02.10.2012
Endlich mal wieder ein korrekter Rückschluss (Recherche) auf die Anfälligkeit der verschiedenen Browser! Wieso der IE als "erster" Browser überhaupt Jemand einsetzt ist mir völlig schleierhaft. Ja, auch ich brauche den Browser (IE) aber nur wegen der Kompatibilität zu internen Firmenressourcen wie z.B. Sharepoint oder CRM... In wilder "Surfbahn" setze ich seit Jahren nicht mehr auf Microsoft Browser. Die enge Verzahnung mit dem OS (ActiveX... ect) ist die Gefährdung. Wieso viele Firmen hier keine Guidelines bestimmen kann ich nicht nachvollziehen. :confused:

Avatar
skyzem
03.10.2012
Meiner Meinung nach ist ein weit verbreiteter Grund für den Einsatz vom IE der, dass man ihn soweit einschränken kann wie kein anderer Browser. Das reicht unseren Admins schon als Grund um nur ihn zu verwenden.

Avatar
ipool
03.10.2012
Ist nicht ganz so einfach Es ist nicht ganz einfach die effektive Sicherheit der Browser zu vergleichen, da das ganze zusätzlich noch von den Einstellungen und allfälligen Plug-Ins abhängt. z.B: der Firefox ist in der Sicherheit wie alle andern auch, jedoch mit dem Zusatz Noscript und einem nicht allzu dussligen User nahezu Unhackbar. Somit ist nicht nur der eigentliche Browser zu betrachten, sondern das ganze System. Es gibt auch Vergleichstests, die zum Beispiel die hundert gefährlichste Seiten aufrufen und anschliessend auswerten. Logischer weise schneidet da der IE mit seiner Blacklist super ab, da er die Seiten ja schon in seinen Blacklists hat. Bei einem unbekannten Angriff hat er schon mehr mühe, da er sehr stark mit dem Betriebssystem verankert ist.