Software::Netzwerk
Sicherheit von WebKit leicht verbessert
Mehr Linux-Distributionen als noch vor einem Jahr bieten eine aktuelle Version von WebKitGTK+ mit allen Sicherheitskorrekturen an, doch manche hinken immer noch hinterher. Laut einer neuen Übersicht von Michael Catanzaro gibt es immer noch viel zu tun.
Mirko Lindner
Vor einem Jahr hatte der Gnome-Entwickler Michael Catanzaro in seinem Blog über den desaströsen Zustand der WebKit-Varianten unter Linux berichtet. Jetzt, genau ein Jahr später, gibt er eine Übersicht, wie die Linux-Distributoren reagiert haben.
Die aktuelle Version von WebKitGTK+ ist 2.14.3, und diese ist in Fedora 24 und 25 vorhanden. Fedora hatte vor gut einem Jahr begonnen, WebKitGTK+ regelmäßig aktuell zu halten. Auch mit Arch Linux hat man die aktuelle Version zur Verfügung, bei Gentoo ebenfalls, allerdings nur, wenn man den Testing-Zweig nutzt. Im stabilen Gentoo-Zweig wird noch die veraltete Version 2.12.5 genutzt. Auch bei Ubuntu ab Version 16.04 hat man ein aktuelles WebKitGTK+, allerdings kritisiert Catanzaro die lange Verzögerung, die es bei Ubuntu mit den Updates gibt. Andererseits sollten Updates ja auch sorgfältig getestet werden, was Zeit benötigt. Wer allerdings Ubuntu 12.04 LTS oder 14.04 LTS nutzt, kann nur die alte Version von WebKitGTK nutzen, die nicht mehr gepflegt wird und nicht aktualisiert werden kann, da das neue WebKitGTK+ dazu nicht kompatibel ist.
Debian kommt auch in der aktuellen Version 8.7 mit WebKitGTK+ 2.6.2, da die Richtlinien eine Aktualisierung ausschließen. WebKitGTK+ 2.6.2 ist so alt, dass es kaum benutzbar ist, und könnte bis zu 184 Sicherheitslücken enthalten, sofern Debian keine Korrekturen in 2.6.2 aufgenommen hat. Besser ist es also, das Debian-Paket erst gar nicht zu nutzen. Debian Testing und damit das kommende Debian 9 sind dagegen mit 2.14.3 auf dem neuesten Stand.
Bei Opensuse weist nur Tumbleweed das aktuelle WebKitGTK+ auf. Die aktuelle Version Leap 42.2 kommt mit Version 2.12.5, das laut Catanzaro 42 offene Sicherheitslücken hat. Noch veralteter ist Leap 42.1 mit Version 2.10.7. Eine Schwierigkeit, die Opensuse zu bewältigen hat, ist, dass es auf Suse Linux Enterprise aufbaut, das mit GCC 4.8 kommt. WebKitGTK+ dagegen erfordert jetzt mindestens GCC 4.9. Mageia ist zur Zeit eine Version hinter der aktuellen Version von WebKitGTK+, was nach Catanzaro wahrscheinlich mit der kleinen Entwicklerzahl zu tun hat und typisch ist für kleinere Distributionen.
Die Unternehmensdistributionen von Red Hat, Oracle und Suse stellen keine WebKit-Sicherheits-Updates bereit und Updates auf WebKitGTK+ sind wie bei den älteren Ubuntu-Versionen nicht möglich.
Trotz der gemischten Resultate sieht Catanzaro insgesamt Verbesserungen. Besonders weitreichende Auswirkungen hat Ubuntus Entscheidung, WebKitGTK+ zu aktualisieren. In Zukunft muss darauf hingewirkt werden, dass auch die anderen Distributionen aktuell bleiben und dass das veraltete WebKit 2.4 und seine Abhängigkeiten entfernt werden. Leider gibt es noch etliche Anwendungen, die nicht auf die neue WebKit2-Schnittstelle umgestellt wurden, davon dürfte GnuCash eine der wichtigsten sein. Fedora wird in Version 26 zum letzten Mal das alte WebKit enthalten, danach wird die Distribution aufräumen.
Ein weiteres Problem ist QtWebKit aus der Qt-Bibliothek. Die Komponente gilt als veraltet und wurde seit 2013 nicht aktualisiert. Genutzt wird sie aber offenbar immer noch. Konstantin Tokarev arbeitete an einer Portierung von QtWebKit auf WebKitGTK 2.12, aber selbst wenn diese in Kürze fertiggestellt wird, ist sie bereits wieder veraltet. Doch es besteht Hoffnung auf eine nachfolgende Aktualisierung.
){kind=small}
