Ja, wenn man das Wort bekannt ab dem Zeitpunkt definiert, ab dem der Hersteller den Fehler zugibt. Das ist allerdings eine sehr gewagte Definition dieses Wortes! :suspect:
Im Internet sind solche Lücken aber erfahrungsgemäß sehr viel früher bekannt. Besonders in Hackerkreisen.
Null Tage Wartezeit? Warum müssen dann sogar andere Firmen Patches herausbringen, die MS offenbar aus Zeitgründen nicht auf die Reihe bekommt?
http://www.pctipp.ch/webnews/wn/32859.asp
Zwölf Monate und kein Patch:
http://secunia.com/advisories/15605/
Elf Monate. Auch hier nichts in Sicht:
http://secunia.com/advisories/16210/
Sechs Monate für den Patch einer schweren Sicherheitslücke:
http://www.golem.de/0407/32348.html
Vier Monate für eine Kritische Sicherheitslücke:
http://www.pc-magazin.de/common/nws/einemeldung.php?id=43381
Seit einem Momnat bekannt und noch nicht behoben:
http://www.computer-security.de/content/view/548/
...
Die Liste lässt sich beliebig fortsetzen. Sind das jetzt alles Ausnahmen?
Die vollkommen unreflektierte Aufzählung uralter Programme führt meiner Meinung nach eher zu Stammtischparolen als zu ernsthaften Diskussionen. So etwas kann hier ja wohl nicht gewünscht sein.
In der Liste steht auch weder der Schweregrad, noch die Zeit bis zum Fix. Gerade aber der Schweregrad spielt hier eine gewaltige Rolle. Kleines Zitat von http://www.zdnet.de/security/news/0,39029460,39143139,00.htm:
Es ist irgendwie schon ein Unterschied, ob ich durch eine Sicherheitslücke lediglich den Browser abstürzen lasse oder gleich das ganze Betriebssystem unter meine Kontrolle bringe, was beim IE ja durch seine tiefe Integration nicht weiter verwunderlich ist.
Was am Ende bei bit9 übrig bleibt ist eine Liste mit dem Informationsgehalt einer Waschmittelwerbung. Ich kann doch nicht einfach die Löcher zählen, ohne deren Größe zu berücksichtigen. Jedes Produkt hat Fehler, aber nicht deren Anzahl, sondern deren Schweregrad ist entscheidend.