Bericht: löchrige OS-Ele­mente in allen kommer­ziellen Anwendungen

5. August 2021 um 11:29
  • security
  • lücke
  • studie
  • open source
  • channel
image

Eine Untersuchung von Osterman Research zeigt, dass zwei Komponenten des Firefox-Projekts für viele Lücken verantwortlich sind.

Kommerzielle Standardsoftware enthält häufig Open-Source-Komponenten, über die die Anbieter meist keine Einzelheiten bekannt geben. Viele dieser Komponenten enthielten aber Schwachstellen, die für Cyberangriffe ausgenützt werden könnten, schreiben Security-Forscher des Marktforschungs- und Consulting-Unternehmens Osterman Research.
Sie haben sich die Situation angeschaut und schlagen nun in einem Whitepaper Alarm: Fast jede der untersuchten kommerziellen Standardanwendungen enthalte Open-Source-Komponenten mit Sicherheitslücken. Ganze 85% wiesen Schwachstellen auf, die als kritisch eingestuft wurden.
Die Forscher konzentrierten sich auf 5 Gebiete: Webbrowser, E-Mail, Messaging, Filesharing und Online-Meeting-Clients. Besonders anfällig sind laut dem Bericht Videokonferenz-Tools. Aber auch E-Mail-Anwendungen schnitten schlecht ab: Alle getesteten Anwendungen enthielten mindestens eine Lücke, die den höchsten Risiko-Score bekam.
Die Studie stellt aber nicht die Gefährdung bestimmter Applikationen dar, sondern konzentriert sich auf die Sicherheit von Open-Source-Komponenten generell: 30% davon wiesen mindestens eine Lücke auf, der bereits eine CVE-Nummer zugewiesen worden sei, so die Forscher. Sie sind also identifiziert und benannt.
Für über drei Vierteln der entdeckten Sicherheitslücken zeichnen zwei Komponenten des Firefox-Projekts verantwortlich. An zweiter Stelle folgen 16 Versionen von OpenSSL mit zusammengerechnet 9,6% der entdeckten Schwachstellen. Die Zahlen ermittelte Osterman Research, indem die Anzahl der Lücken mit CVE-Nummern in den Komponenten gezählt wurde, die in Applikationen genutzt wurden.
Für die Untersuchung setzten die Forscher ein Tool von CodeSentry ein, das nach Open-Source-Komponenten in Anwendungen sucht. Der Anbieter der Analyse-Software war zugleich Sponsor des Projekts. Das Whitepaper kann nach Nennung einiger Angaben heruntergeladen werden.

Loading

Mehr erfahren

Mehr zum Thema

image

Behörden schalten grosses Hacker-Forum aus

Auf Breachforums wurden zuletzt die Datensätze von Dell und Europol verkauft. Beteiligt an der internationalen Aktion war auch die Kantonspolizei Zürich. In der Schweiz wurden Server sichergestellt.

publiziert am 16.5.2024
image

Security-Firmen Exabeam und Logrhythm fusionieren

Investor Thoma Bravo legt die beiden SIEM-Konkurrenten zusammen.

publiziert am 16.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

BSI kauft österreichisches Fintech

Mit der Übernahme von Riskine will der Schweizer Softwarehersteller im Ausland weiter Fuss fassen. In Österreich entsteht ein neuer Standort.

publiziert am 15.5.2024