Studie – Safari und Opera lahmen bei Patches

Stille Updates von Chrome am effektivsten – auch Firefox stark

Zürich (pte/06.05.2009/13:56) – Browser-Updates sind nicht zuletzt ein wichtiger Faktor für die Sicherheit von Usern im Internet. Schweizer Forscher haben nun untersucht, welche Patch-Strategien sich als besonders effektiv erweisen und damit auch besten Schutz für Nutzer versprechen. „Durchschnittsuser sind mit automatischen, stillen Updates wie bei Chrome am besten bedient“, gibt sich Stefan Frei, Informatiker an der ETH Zürich http://www.ethz.ch. Der Google-Browser hat bei der Studie „Why Silent Updates Boost Security“ http://www.techzoom.net/silent-updates am besten abgeschnitten. Doch auch Firefox konnte punkten und bietet versierten Nutzern mehr Kontrolle. Zu langsam von Nutzern aufgenommen werden Aktualisierungen bei Safari und Opera, während der Internet Explorer nicht berücksichtigt werden konnte.

Immer öfter werden Sicherheitslücken in Browsern entdeckt, die von Angreifern …

ausgenutzt werden können und das dürfte sich in naher Zukunft nicht ändern. Daher haben Frei und ein Mitarbeiter von Google Schweiz untersucht, wie schnell etwaig sicherheitsrelevante Aktualisierungen bei verschiedenen Browsern auch wirklich die Nutzer erreichen. Dazu haben sie sich Browser-Versionsdaten, die von den weltweiten Google-Servern registriert wurden, angesehen. Da IE in entsprechenden Daten nur die Hauptversion, aber keinen Patchstand widerspiegelt, konnte der Microsoft-Browser nicht berücksichtigt werden – im Gegensatz zu Chrome, Firefox, Opera und Safari, wo jeweils vier Release-Versionen untersucht wurden.

Nach Erscheinen eines Updates steigt die Verwendung der neuen Version laut Untersuchung bei Firefox innerhalb der ersten fünf Tage am schnellsten – mit einer einfachen manuellen Update-Installation. Doch in weiterer Folge kann Chrome den Mozilla-Browser noch übertreffen und als einziger Browser Aktualisierungsraten von über 90 Prozent binnen 21 Tagen erreichen. Damit erscheint der Ansatz, sehr häufig auf Updates zu prüfen und diese automatisch herunterzuladen und zu installieren, am besten. Wie Frei bestätigt, ist Chromes vollautomatischer Update-Prozess in aktueller Form aber noch kein absolutes Optimum. Zwar hält er diesen Ansatz für Durchschnittsuser besonders im privaten Bereich am sinnvollsten. Doch für Profi-Nutzer ist es bisweilen wichtig, mehr Kontrolle darüber zu haben, wann Patch-Downloads und -Installationen erfolgen. Hier taugt Firefox eher als Vorbild. Es wäre günstig, wenn ein Browser automatische, stille Updates als Grundeinstellung nutzt, aber versierten Usern ein Umstellen auf eine manuelle Variante ermöglicht.

Schwach haben Apples Safari und Opera abgeschnitten, die relativ selten nach Updates suchen, grundsätzlich manuelle Downloads erfordern und mit besonders im Falle von Opera eher aufwendigen manuellen Installationsvarianten. Safari konnte immerhin bei einer Version eine Aufnahme von über 50 Prozent nach drei Wochen erreichen, lag aber in einigen Fällen deutlich darunter. Das hängt auch damit zusammen, dass Apple Safari-Updates teils sehr selektiv nur für besonders aktuelle OS-X-Versionen anbietet. Zwar hat Opera mit maximal 24 Prozent Aktualisierungsrate nach 21 Tagen noch schlechter abgeschnitten, doch gibt es hier Licht am Ende des Tunnels. Denn mit Opera 10, der derzeit in einer frühen Vorabversion vorliegt, werden automatische Updates eingeführt. „Wenn Opera den Mechanismus vernünftig umsetzt, wird man wohl in die Nähe von Firefox kommen“, meint Frei. Ob Apple Fortschritte machen wird, bleibt dagegen abzuwarten.

Ein guter Update-Mechanismus allein genügt Freis Ansicht nach nicht, um optimal für Sicherheit bei Browsern sorgen zu können. „Es braucht eine eindeutig sichtbare Anzeige, ob der Browser aktuell ist – eine für Anwender verständliche Information analog zum Ablaufdatum bei Lebensmitteln“, meint der Wissenschaftler.