Web

Drastischer Anstieg an Software-Bugs im vergangenen Jahr

01.02.2007
Nach dem jüngsten Sicherheitsreport der IBM-Einheit Internet Security Systems (ISS) ist die Zahl der 2006 gemeldeten Softwarelecks im Vergleich zum Vorjahr um 39,5 Prozent gestiegen.

Den IBM-Statistiken zufolge verzeichnete und analysierte das ISS X-Force-Team im vergangenen Jahr 7.247 neue Schwachstellen. Die diesjährige ISS-Top-10-Liste der verwundbarsten Anbieter, die für insgesamt 964 (14 Prozent) der 2006 gemeldeten Sicherheitslecks verantwortlich waren, lautet wie folgt: Microsoft, Oracle, Apple, Mozilla, IBM, Linux Kernel Organization, Sun, Cisco, Hewlett-Packard (HP) und Adobe Systems (in absteigender Reihenfolge). Immerhin 86 Prozent dieser Schwachstellen wurden allerdings mittels Patches behoben. Von den verbleibenden Softwarefehlern (86 Prozent) hingegen, die IBM unter "andere Anbieter" zusammenfasst, sind 65 Prozent nach wie vor ungepatcht.

Der hohe Anstieg an Sicherheitslücken sei nicht zuletzt auch auf die Art von Werkzeugen zurückzuführen, die Sicherheitsexperten mittlerweile zur Bewertung von Software nutzten, so Gunter Ollmann, Director des X-Force-Research-Team bei IBM ISS. So ließen sich Bugs etwa mit Hilfe automatisierter Fuzzing-Tools unschwer lokalisieren. Mit der Fuzzing- Technik lassen sich Fehler in Programmen provozieren und Möglichkeiten entdecken, um Code auf den Rechnern auszuführen.

Seit der Jahrtausendwende ist nicht nur die Zahl der Schwachstellen kontinuierlich gestiegen - dem Jahresbericht zufolge sind auch die damit verbundenen Risiken schwerwiegender geworden. So soll sich beispielsweise der Anteil an Softwarefehlern, die sich remote ausnutzen lassen, von 43,6 Prozent im Jahr 2000 auf mittlerweile 88,4 Prozent erhöht haben. Mehr als die Hälfte (50,6 Prozent) der 2006 entdeckten Fehler könnten Angreifer zudem ausnutzen, um das Opfersystem in ihre Gewalt zu bringen. Der Report "IBM X-Force 2006 Trend Statistics" findet sich hier. (kf)