Die auf Prüfung von Unternehmenssoftware spezialisierte Firma Bit9 hat den Mozilla-Browser Firefox in die unrühmliche Liste des "dreckigen Dutzends" der unsicheren Windows-Anwendungen für Unternehmen aufgenommen. Mozilla-Sicherheitsexperte Johnathan Nightingale widerspricht.
Bit9 hat die Debatte mit seiner jährlich veröffentlichten Liste der Windows-Anwendungen mit kritischen Sicherheitsproblemen ausgelöst. Unter den Top Fünf befindet sich der Firefox -Brwoser (2x und 3x) in Gesellschaft mit Adobe Acrobat, (8.1.2 und 8.1.1), Microsoft Windows Live (MSN) Messenger, (4.7 und 5.1), Apples iTunes (3.2 und 3.1.2) und Skype (3.5.0.248).
All diesen Anwendungen seien verschiedene Kriterien gemein, schreibt Bit9: Sie laufen unter Windows, sind populär und sie sind von IT-Firmen und Sicherheitsexperten nicht als potenziell schädlich eingestuft. Die wichtigeren Einschätzungen, die für Bit9 zur Disqualifikation der genannten Anwendungen führt, heißen: Es gibt mindestens eine bestehende kritische Sicherheitslücke, die Software wird in der Regel vom Benutzer und nicht vom Admin gepatcht und die Software lässt sich nicht über Enterprise-Tools zentral updaten. Bit9 nennt als Beispiele dafür den WSUS (Windows Server Update Services) und den Systems Management Server (SMS).
Jonathan Nightingale von der Mozilla-Security-Abteilung Human Shield widerspricht der Bit9-Einschätzung vehement. Das Kriterium, “kritische Sicherheitslücke” im Jahr 2008 bestrafe diejenigen Software-Hersteller, die eine offene Informationspolitik mit Sicherheitsbelangen betreiben, wie eben Mozilla, schreibt Nightingale. Kurz: Wer seine Sicherheitsprobleme verschweigt, umgeht dieses Kriterium einfach. darüberhinaus bezweifelt er den Ansatz von Bit9 prinzipiell: Dass Software fehlerhaft ist, sei eine Binsenweisheit, statt die Fehlerhaftigkeit als Kriterium zu nehmen sei es weitaus sinnvoller, Umgang und Reaktionszeit mit Sicherheitsproblemen als Messlatte zu nehmen.
Die von Bit9 angeführten Firefox-Schwachstellen seien längst gefixt, betont der Entwickler, und die Mehrheit dieser Fixes sei innerhalb weniger Tage verfügbar gewesen. Dass Bit9 anführt, Firefox sei nicht über die Microsoft-Tools WSUS (Windows Server Update Services) zu pflegen, hält Nightingale für weltfremd. Der bei Firefox integrierte Update-Service erspare dem Benutzer die Suche nach Updates. Innerhalb von sechs Tagen, so die Erfahrung, seien Updates für Firefox zu 90 Prozent verteilt.
