Die aktuelle Warnung des vom BSI betriebenen Bürger-CERTs, bis zum Erscheinen von Firefox 3.6.2 doch lieber "alternative Browser" einzusetzen, ist in vielerlei Hinsicht verunglückt.
Die aktuelle Warnung des vom BSI betriebenen Bürger-CERTs, bis zum Erscheinen von Firefox 3.6.2 lieber "alternative Browser" einzusetzen, ist in vielerlei Hinsicht verunglückt. Es fängt damit an, dass nicht so recht nachvollziehbar ist, warum dieser gut gemeinte Ratschlag mit der Nachricht zusammen fällt, dass Firefox 3.6.2 die Lücke nächste Woche schließen wird – und nicht etwa mit der bereits im Feburar unter anderem auf heise Security veröffentlichten Warnung vor der Lücke in Firefox.
Es geht weiter damit, dass die Umstiegsempfehlung völlig offen lässt, welchen "alternativen Browser" der verunsicherte Bürger denn nun verwenden soll. Die Gefahr ist hoch, dass ihn die Sicherheitsexperten vom Bürger-CERT vom Regen direkt in die Traufe schicken. Denn bislang gibt es zwar keine Hinweise darauf, dass die Firefox-Lücke von Kriminellen bereits ausgenutzt würde. Sehr wohl ist jedoch bekannt, dass die Nutzer der Versionen 6 und 7 des "alternativen" Internet Explorers derzeit über eine Browserlücke attackiert werden, gegen die Microsoft noch keinen Patch bereitgestellt hat. Zu dieser kritischen Lücke im Internet Explorer und wie man sich vor davor schützt findet sich im Übrigen keine technische Warnung des Bürger-CERTs.
Man kann dem BSI jedoch keine einseitige Parteinahme vorwerfen – im Gegenteil. Erst im Januar riet die Behörde noch, zumindest zeitweise von der Nutzung des Internet Explorer Abstand zu nehmen. Ich frage mich vielmehr, wann das Bürger-CERT mit zufällig eingestreuten Proporz-Warnungen von Opera und Chrome abraten wird – oder ob das BSI vielleicht sogar demnächst den monatlichen Browser-Wechsel als Sicherheitsfunktion propagiert.
bye, ju
(ju)