Kommerzielle Standardsoftware enthält häufig Open-Source-Komponenten, über die die Anbieter meist keine Einzelheiten bekannt geben. Viele dieser Komponenten enthielten aber Schwachstellen, die für Cyberangriffe ausgenützt werden könnten, schreiben Security-Forscher des Marktforschungs- und Consulting-Unternehmens Osterman Research.

Sie haben sich die Situation angeschaut und schlagen nun in einem Whitepaper Alarm: Fast jede der untersuchten kommerziellen Standardanwendungen enthalte Open-Source-Komponenten mit Sicherheitslücken. Ganze 85% wiesen Schwachstellen auf, die als kritisch eingestuft wurden.

Die Forscher konzentrierten sich auf 5 Gebiete: Webbrowser, E-Mail, Messaging, Filesharing und Online-Meeting-Clients. Besonders anfällig sind laut dem Bericht Videokonferenz-Tools. Aber auch E-Mail-Anwendungen schnitten schlecht ab: Alle getesteten Anwendungen enthielten mindestens eine Lücke, die den höchsten Risiko-Score bekam.

Die Studie stellt aber nicht die Gefährdung bestimmter Applikationen dar, sondern konzentriert sich auf die Sicherheit von Open-Source-Komponenten generell: 30% davon wiesen mindestens eine Lücke auf, der bereits eine CVE-Nummer zugewiesen worden sei, so die Forscher. Sie sind also identifiziert und benannt.

Für über drei Vierteln der entdeckten Sicherheitslücken zeichnen zwei Komponenten des Firefox-Projekts verantwortlich. An zweiter Stelle folgen 16 Versionen von OpenSSL mit zusammengerechnet 9,6% der entdeckten Schwachstellen. Die Zahlen ermittelte Osterman Research, indem die Anzahl der Lücken mit CVE-Nummern in den Komponenten gezählt wurde, die in Applikationen genutzt wurden.

Für die Untersuchung setzten die Forscher ein Tool von CodeSentry ein, das nach Open-Source-Komponenten in Anwendungen sucht. Der Anbieter der Analyse-Software war zugleich Sponsor des Projekts. Das Whitepaper kann nach Nennung einiger Angaben heruntergeladen werden.