Zero Day, Anstieg der Schwachstellen im Webbrowser im Jahr 2014

Die Anzahl der Zero-Day- und Webbrowser-Schwachstellen ist 2014 gestiegen, aber insgesamt patchen die Softwareanbieter schneller.

Die Daten stammen von Secunia, einem dänischen Sicherheitsanbieter, der jährlich eine Studie über Trends bei Software-Schwachstellen veröffentlicht, die von Hackern verwendet werden, um Computer zu gefährden.

Zero-Day-Schwachstellen, bei denen es sich um Softwarefehler handelt, die von Angreifern aktiv genutzt werden, wenn sie öffentlich bekannt gegeben werden, stiegen von 14 im Jahr 2013 auf 25 im letzten Jahr. Diese Art von Fehlern gehört zu den gefährlichsten und wird von Angreifern geschätzt, da Patches von Anbietern nicht erhältlich sind.

Laut dem Bericht von Secunia stiegen die Fehler in der Webbrowsersoftware im Jahr 2014 von 728 im Vorjahr auf 1.035.

Die gute Nachricht ist jedoch, dass die Anbieter schneller vorgehen, um Fehler zu beheben. Secunia stellte fest, dass über 83 Prozent der 15.435 Sicherheitslücken in 3.870 Anwendungen einen Patch zur Verfügung hatten, als ein Fehler öffentlich bekannt gegeben wurde.

Das ist im Vergleich zu 78,5 Prozent im Jahr 2013 und viel besser als im Jahr 2009, als nur 49,9 Prozent der Produkte einen fertigen Patch hatten.

"Die wahrscheinlichste Erklärung ist, dass Forscher ihre Schwachstellenberichte weiterhin mit Anbietern und ihren Schwachstellenprogrammen koordinieren, was in den meisten Fällen zur sofortigen Verfügbarkeit von Patches führt", heißt es in dem Bericht.

Secunia stellte jedoch fest, dass, wenn ein Patch an dem Tag, an dem ein Fehler bekannt wurde, noch nicht fertig war, die Anbieter wahrscheinlich keine Prioritäten für einen Fix setzen würden. Der Prozentsatz der Produkte, die einen Monat nach Bekanntgabe eines Fehlers einen Patch bereit hatten, stieg nur auf 84,3 Prozent.

Secunia befasste sich auch mit PDF-Software, auf die Hacker häufig abzielen, da sie auf fast jedem Computer installiert ist.

Die PDF-Anwendungen von Adobe Systems gehören aufgrund ihrer Verbreitung zu den am häufigsten angegriffenen im Internet. Laut Secunia hatte das Reader-Programm von Adobe, das einen Marktanteil von 85 Prozent hat, im vergangenen Jahr 43 Sicherheitslücken.

In den letzten Jahren hat Adobe ein aggressives Programm durchgeführt, um den Anwendungscode auf Sicherheitsprobleme zu scannen und Patches schnell zu generieren, wenn Probleme gefunden werden.

Secunia stellte fest, dass 32 Prozent der Computer, die mit Daten aus dem Personal Software Inspector, der die Versionsnummer von Programmen überprüft, befragt wurden, keine aktuelle Version von Adobe Reader hatten, was die Benutzer gefährdete.

Das Unternehmen untersuchte auch Schwachstellen in Open-Source-Software, ein zunehmendes Sicherheitsrisiko, nachdem mehrere schwerwiegende Schwachstellen in der OpenSSL-Kryptografiesoftware gefunden wurden.

Die erste schwerwiegende OpenSSL-Sicherheitsanfälligkeit mit dem Spitznamen Heartbleed überraschte viele aufgrund ihrer möglichen Auswirkungen und der Vielzahl der Programme, die sie verwenden. Secunia war der Ansicht, dass Anbieter OpenSSL möglicherweise schneller patchen können, nachdem im letzten Jahr nachfolgende Probleme festgestellt wurden.

Das war jedoch nicht der Fall. Viele Anbieter haben nach Heartbleed nicht schneller auf andere OpenSSL-Fehler gepatcht, heißt es in dem Bericht.

"Unternehmen sollten nicht davon ausgehen können, vorhersagen zu können, welche Anbieter zuverlässig sind und schnell reagieren, wenn Schwachstellen in Produkten entdeckt werden, die mit Open-Source-Bibliotheken gebündelt sind", sagte Secunia.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.