Mozilla will Lücken ín '10 verdammten Tagen' schließen

In der letzten Woche fand in den USA die Sicherheitskonferenz Black Hat 2007 statt. Auch Mozilla, der Hersteller des bekannten freien Browsers Firefox war vor Ort. In einem Gespräch mit einem Experten hat ein ranghoher Entwickler von Mozilla dort eine zügige Reaktion auf Sicherheitsprobleme versprochen. Im Gespräch mit Robert Hansen, dem Chef von SecTheory und Betreiber von ha.ckers.org sicherte Mike Shaver zu, dass man Sicherheitslücken innerhalb von "zehn verdammten Tagen" schließen könne. Shaver war nach Angaben von Hansen nicht betrunken, sondern meinte seine Feststellung sehr ernst.


Bild aus Robert Hansens Weblog
Die Behauptung, Lücken in zehn Tagen zu schließen, ist allerdings nur auf Sicherheitslücken bezogen, die als "kritisch" eingestuft werden. Eine weitere Voraussetzung ist nach Angaben Shavers, dass Mozilla vor der Veröffentlichung von Informationen zu der jeweiligen Schwachstelle informiert wurde.

Hansen sieht den Anspruchs Shavers durchaus skeptisch und bezweifelte in seinem Blog, dass man die hohe Messlatte erreichen kann, egal wie groß die Zahl der Entwickler der jeweiligen Software ist. Mit Firefox 2.0.0.6 konnte Mozilla jedoch bereits beeindruckend schnell auf die in der vorangegangenen Version 2.0.0.5 reagieren - innerhalb von nur 13 Tagen wurde eine schwerwiegende Lücke geschlossen.