Bericht: löchrige OS-Ele­mente in allen kommer­ziellen Anwendungen

5. August 2021, 11:29
  • security
  • lücke
  • studie
  • open source
  • channel
image

Eine Untersuchung von Osterman Research zeigt, dass zwei Komponenten des Firefox-Projekts für viele Lücken verantwortlich sind.

Kommerzielle Standardsoftware enthält häufig Open-Source-Komponenten, über die die Anbieter meist keine Einzelheiten bekannt geben. Viele dieser Komponenten enthielten aber Schwachstellen, die für Cyberangriffe ausgenützt werden könnten, schreiben Security-Forscher des Marktforschungs- und Consulting-Unternehmens Osterman Research.
Sie haben sich die Situation angeschaut und schlagen nun in einem Whitepaper Alarm: Fast jede der untersuchten kommerziellen Standardanwendungen enthalte Open-Source-Komponenten mit Sicherheitslücken. Ganze 85% wiesen Schwachstellen auf, die als kritisch eingestuft wurden.
Die Forscher konzentrierten sich auf 5 Gebiete: Webbrowser, E-Mail, Messaging, Filesharing und Online-Meeting-Clients. Besonders anfällig sind laut dem Bericht Videokonferenz-Tools. Aber auch E-Mail-Anwendungen schnitten schlecht ab: Alle getesteten Anwendungen enthielten mindestens eine Lücke, die den höchsten Risiko-Score bekam.
Die Studie stellt aber nicht die Gefährdung bestimmter Applikationen dar, sondern konzentriert sich auf die Sicherheit von Open-Source-Komponenten generell: 30% davon wiesen mindestens eine Lücke auf, der bereits eine CVE-Nummer zugewiesen worden sei, so die Forscher. Sie sind also identifiziert und benannt.
Für über drei Vierteln der entdeckten Sicherheitslücken zeichnen zwei Komponenten des Firefox-Projekts verantwortlich. An zweiter Stelle folgen 16 Versionen von OpenSSL mit zusammengerechnet 9,6% der entdeckten Schwachstellen. Die Zahlen ermittelte Osterman Research, indem die Anzahl der Lücken mit CVE-Nummern in den Komponenten gezählt wurde, die in Applikationen genutzt wurden.
Für die Untersuchung setzten die Forscher ein Tool von CodeSentry ein, das nach Open-Source-Komponenten in Anwendungen sucht. Der Anbieter der Analyse-Software war zugleich Sponsor des Projekts. Das Whitepaper kann nach Nennung einiger Angaben heruntergeladen werden.

Loading

Mehr zum Thema

image

Zuger Gastro-Startup Menu wird amerikanisch

Der US-Spezialist für Gastro-Software PAR übernimmt den Anbieter einer Omnichannel-Bestelllösung für Restaurants.

publiziert am 15.8.2022
image

Schweizer Kleinunternehmen, die Homeoffice-Müdigkeit und die Security

Kurzfazit einer Studie: Kleinere Unternehmen habens nicht so mit dem Homeoffice. Die Nutzung ist beinahe auf das Vor-Pandemie-Niveau zurückgegangen.

publiziert am 15.8.2022
image

Vinci Energies (Axians) übernimmt IT-Service-Töchter von Kontron (S&T)

Vinci Energies integriert die aufgekauften Unternehmensteile in 10 Ländern, darunter auch der Schweiz, in sein ICT-Unternehmen Axians.

publiziert am 15.8.2022
image

Swisscom verliert Festnetztelefonie von Basel-Stadt an Sunrise

Im Rahmen der Mitgliedschaft bei eOperations Schweiz sind die Verwaltung des Kantons Basel-Stadt plus Uni, Spital, Verkehrs-Betriebe und Industrielle Werke zu Sunrise gewechselt.

publiziert am 12.8.2022