Christian R. fragt in einem Kommentar zu Eigentlich Werbung für Sicherheit & Vista:
"Viele Patches fixen ja Lücken, die nur auf XP oder bei ausgeschaltener UAC angreifbar sind. Gibt es eine Aufstellung von Sicherheitslücken, die auf einem Vista SP1 mit UAC angreifbar sind?"
Ich habe das Jeff Jones gefragt, und die Antwort gestern sogleich bekommen (Sonntag? Gibts nicht): Ja, bereits länger online. Und zwar eine Erweiterung zu seinem Report, ob Vista im Vergleich zu XP weniger oft gepatcht werden musste.
Die Antwort ist:
- Windows Vista hatte 30% weniger Security Bulletins als Windows XP SP2
- Windows Vista hatte 20% weniger Anfälligkeiten Windows XP SP2
- Windows Vista hatte 28% weniger "kritische" und "wichtige" Anfälligkeiten als XP SP2
- 26 Schwachstellen von Windows Vista waren weniger schwerwiegend, wenn man Standard-Benutzerrechte nutzt
Das liest sich bei Jeff Jones so:
"I examined each of the vulnerabilities that affected Windows Vista in 2007 to see if the impact was different for standard users. 26 out of the 45 Vista vulnerabilities, if successfully exploited, would grant rights as the logged on users. At the least, this means successful attackers will have to do some more work to gain elevated privileges beyond standard user."
Oder anders gesagt: Jede Lücke, wo der Angreifer Benutzerrechte erlangt, sind alleine durch die Nutzung von UAC stark abgeschwächt.
Die Aussagen "Windows Vista bietet höhere Sicherheit im Vergleich zu XP" oder "UAC ausschalten ist dämlich" kann man also damit mit Zahlen belegen.
Für Datenwuellen, Methodik usw... bitte direkt in die Reports schauen.
Quellen: