Jeff Jones, Security-Strategy Director bei Microsofts Trustworthy Computing Group, hat den hauseigenen Webbrowser Internet Explorer mit dem freien Mozilla Firefox verglichen und kommt zu dem wenig überraschenden Ergebnis, dass das Microsoft-Produkt sicherer sei.

In seinem Blog hat Jones schon öfter Microsoft-Lösungen mit Konkurrenzprodukten verglichen, nun hat er sich die seiner Meinung nach führenden Browser vorgenommen. Zu seinem aktuellen Ergebnis zugunsten des Internet Explorer (IE) kommt er nach einem Vergleich der veröffentlichten und behobenen Sicherheitslücken der beiden Webbrowser. Betrachtet hat Jones die Entwicklung seit November 2004. In diesem Zeitraum sind mit Firefox 1.0, 1.5 und 2.0 drei Versionen des Open-Source-Browsers erschienen. Microsoft hat seinen Browser im November 2006 von Version 6 auf Version 7 aktualisiert. Die schnelleren Release-Zyklen des Firefox bezeichnet Jones nun als Sicherheitsrisiko und nennt die Unternehmens-Versionen der Linux-Betriebssysteme Red Hat Enterprise Linux, Novells Suse Linux Enterprise und Ubuntu als Beispiele. Dass die Hersteller lange Supportzyklen garantieren, schließe auch den Browser Firefox ein. Weil Mozilla selbst jedoch den Support früher einstelle, müssten die Hersteller selbst für ältere Versionen den Support übernehmen. Alternativ wären sicherheitsbewußte Anwender gezwungen, regelmäßig auf die neueste Version zu aktualisieren.

Jones vergleicht bei den beiden Browsern auch die Zahl der Fehler, deren Schwere und die erfolgreiche Behebung: Für die Firefox-Versionen nennt er 199 Sicherheitslücken, 75 davon als hochkritisch eingestuft. Für IE6 und 7 nennt er 87 Lücken, hiervon 54 hochkritische. Für die erste Zeit nach der Veröffentlichung zählt er für Version 2.0 des Firefox 56 gefundene und behobene Fehler gegenüber 14 beim Internet Explorer 7. Bei den offenen Lücken herrscht nach seiner Zählung nahezu Gleichstand: Für den freien Browser zählt er 24 offene Themen, acht davon als kritisch eingestuft. Das Microsoft-Produkt kommt auf 21 Sicherheitslecks, wovon zehn als kritisch einstuft sind.

Auf diese Zählweise reagiert Mozilla-Manager Mike Shaver ungehalten: “Wenn Mozilla für diesen Bericht besser als Microsoft sein wollte, gäbe es einen einfachen Weg: Aufhören mit dem Beheben und Veröffentlichen von Fehlern, die wir In-House finden”, schreibt er in seinem Blog. “Es ist bekannt, dass Microsoft die Veröffentlichungen zu Service-Packs und Fehlerbehebungen redigiert. Manchmal heißt das, dass du nur eine einzige Schwachstelle genannt bekommst, für beispielsweise sieben behobene Fehler. Oder Du hörst gar nichts darüber, weil es mit SP2 (Service Pack 2) verteilt wurde und sie kein Aufhebens darum machen.” Seiner Meinung nach ist diese Art des Vergleichs zwar einfach, aber nutzlos.