Hallo,

[...]
Effektiv bleiben also nur ca. 3 unmittelbar "gefaehrliche" Fehler.

Jetzt spiel das mal nicht so herunter. Das sind durchaus ernstzunehmende Bugs.

Da aber alle gefunden wurden, bevor ein Exploit existierte,

Glaubst du das selber?
Das kein Exploit *veroeffentlicht* wurde, heisst noch lange nicht, dass es keinen gibt.
Tatsaechlich denke ich, dass zu so ziemlich allen Bugs zuerst Exploits existieren, dann die
Fixes. Lediglich auf bekannten Buglisten werden sie wohl nicht veroeffentlicht sein. Hier ist
IMHO der einzige Unterschied zwischen OpenSource Software und kommerzieller Software, dass
die Patches bei OpenSource im allgemeinen im Sourcecode vorliegen :)

gab es keine Bedrohung, und damit auch kein Risiko.

Glaubst du das selber?

Es gibt ja auch kein Infektionsrisiko, wenn niemand krank ist.

Nicht alles, was hinkt, ist ein Vergleich.
Ein sinnvollerer Vergleich waere es gewesen zu sagen, es besteht kein Infektions-Risiko, wenn
es sich um eine Krankheit handelt, die nur durch Sexual-Verkehr oder Blutkontakt uebertragen
werden kann. Dass das nicht stimmt, haben wir bei Aids gesehen.

Beim kompilierten Sicherheitsrisiko hingegen gibt es meist erst den Exploit, dann den Fix.

Oh, das ist nicht das Problem. Das Problem ist IMHO, dass die Fixes oft monatelang auf sich
warten lassen.

Nix fuer Ungut, Gruesse,
 CK