Das Betriebssystem, in dem im vergangenen Jahr die meisten Sicherheitslücken gefunden wurden, war nicht etwa Windows, sondern Mac OS X. Selbst in Linux gab es mehr Lecks als im Microsoft-OS.
.038 neue Schwachstellen wurden im vergangenen Jahr in die »National Vulnerability Database« der US-Regierung eingetragen – durchschnittlich gut 19 pro Tag und deutlich mehr als noch 2013, wie die Sicherheitsexperten von GFI berichten. Knapp ein Viertel der Sicherheitslücken wurde als schwerwiegend eingestuft. Das ist zwar ein geringerer Anteil als 2013, doch da die Gesamtzahl der Lecks massiv anstieg, waren es in absoluten Zahlen auch mehr schwerwiegende Lecks.
Betrachtet man die Betriebssysteme, fällt auf, dass das als chronisch unsicher geltende Windows nicht einmal mehr in den Top 3 liegt. Die meisten Schwachstellen, 147 an der Zahl, wurden in Mac OS X gefunden, dahinter liegen iOS (127) und der Linux-Kernel (119). Erst dann folgen die verschiedenen Windows-Versionen, angefangen mit Windows Server 2008 und Windows 7 mit 38 beziehungsweise 36 Lecks. Zwar werden die verschiedenen Windows-Versionen separat gelistet, während Mac OS X und Linux nur als Sammeleintrag auftauchen. Allerdings darf man wohl davon ausgehen, dass ein großer Teil der Windows-Sicherheitslücken in allen Versionen zu finden war, die Windows-Zahlen also nicht einfach addiert werden können.
Auch bei den kritischen Lecks liegt Mac OS X vor iOS, hier allerdings gefolgt von Windows und nicht Linux. Für die Open Source-Gemeinde dürfte das aber nur ein schwacher Trost sein, denn vom Sicherheitsstandpunkt aus sei es »ein hartes Jahr für Linux-Nutzer« gewesen, heißt es bei GFI. Es wurden nicht nur viele Lücken entdeckt – auch einige der schwerwiegendsten Security-Probleme des Jahres betrafen Anwendungen, die normalerweise auf Linux-Systemen laufen, etwa der Heartbleed-Bug in OpenSSL oder das Shellshock-Leck in Bash.
IE als Einfallstor Nummer Eins
Überhaupt sind Anwendungen ein weit größeres Einfallstor für Schädlinge und Angreifer als die Betriebssysteme selbst – was natürlich auch an der schieren Menge verfügbarer Programme liegt. Nur 13 Prozent der Schwachstellen des vergangenen Jahres waren in Betriebssystemen zu finden, vier Prozent entfielen auf Hardware, der Rest auf Anwendungen. Traditionell liegen hier die Browser ganz vorn: 2009 und 2010 gab es die meisten Lecks in Firefox, 2011 und 2012 in Google Chrome, und die letzten beiden Jahre nun führt der Internet Explorer das Ranking an. Stattliche 220 Lecks wies er im vergangenen Jahr auf und liegt damit weit vor Chrome (124) und Firefox (117). Zudem wurde fast jedes der IE-Lecks als kritisch eingestuft, was die gute Positionierung von Windows unter den Betriebssystemen wieder relativiert, wird der Browser doch mit Windows im Paket ausgeliefert.
Neben den Browsern sind auf Anwendungsseite wenig überraschend die Adobe-Programme, insbesondere der Flash-Player, und Java von Schwachstellen betroffen. Um Systeme abzusichern, sei es notwendig, sie aktuell zu halten, so GFI. Admins sollten sich – in dieser Reihenfolge – auf das Patchen der Betriebssysteme, Browser, Java und Adobe-Produkte konzentrieren, empfehlen die Sicherheitsexperten.
Quelle: www.crn.de