Report: Zahl veröffentlichter Schwachstellen hat abgenommen

Erstmals seit sieben Jahren hat die Zahl der veröffentlichen Schwachstellen in Software im Jahr 2007 abgenommen, berichtet IBM im jährlichen Report seiner Sicherheitstruppe ISS X-Force. Über die Gründe für den Rückgang gibt es selbst in der X-Force unterschiedliche Meinungen. Der Sidney Morning Herald zitiert Chris Rouland, den technischen Leiter von ISS mit den Worten, dass die Zahl im Jahr 2007 deshalb nicht höher sei, weil es einen Schwarzmarkt für Schwachstellen gebe, auf dem Sicherheitsspezialisten ihre Entdeckungen an kriminelle Banden verhökerten. Über diese teilweise für 100.000 Dollar verkauften Informationen gebe es dann auch keine öffentlichen Informationen.

Dem widerspricht aber Gunter Ollmann, Director of Security Strategy bei ISS, im Blog der X-Force. Die Gründe seien seiner Meinung nach eher bei der verbesserten Qualitätssicherung der Softwarehersteller zu suchen, was zu weniger Lücken in neu veröffentlichten Produkten führe. In diesem Rahmen würden auch Hunderte von unabhängigen Sicherheitsspezialisten im Auftrag der Hersteller nach Schwachstellen suchen, damit diese geschlossen werden können. Informationen über auf diese Weise gefundene Lücken würden oftmals auch nicht veröffentlicht.

Schließlich sei der Anspruch an die Informationen über Schwachstellen gewachsen. Früher reichte es aus, zu schreiben, dass bestimmte Daten in einer Anwendung zu einem Absturz führten und sich eventuell das Problem zum Einschleusen und Starten von Code ausnutzen lässt. Dies genügt nun nicht mehr, auch weil insbesondere Fuzzing-Tools eine Vielzahl solcher Verdachtsmomente produzieren. Heutzutage erwarten Sicherheitsspezialisten nähere Beschreibungen, am besten mit einem Proof-of-Concept-Exploit, um einen Fehler als Schwachstelle zu klassifizieren. Dies sei für einige Hacker aber zu viel Aufwand, was dazu führt, dass sie gar keine Informationen mehr veröffentlichen würden.

Zwar nahm die Gesamtzahl der Schwachstellen um 5,4 Prozent auf 6437 ab, allerdings erhöhte sich die Zahl der kritischen Schwachstellen um 28 Prozent im Vergleich zum Vorjahr 2006. Die meisten Informationen über Sicherheitslücken wurden im Jahr 2007 laut X-Force dienstags veröffentlicht. Ob Microsofts Patchday einer der Gründe dafür ist, lässt der Bericht offen. Nur rund 14 Prozent aller Lücken fielen zusammengenommen auf die großen Hersteller Microsoft, Apple, Oracle, IBM und Cisco.

Bedenklich stimmten auch die Zahlen über verfügbare Patches zu den Lücken: Gerade einmal die Hälfte der Lücken wurde mit Patches geschlossen. Fast 90 Prozent der Fehler ließen sich nach Angaben der X-Force aus der Ferne ausnutzen. Dabei würden die Angreifer einigen Aufwand treiben, um ihre Vorgehensweise zu verschleiern. So sollen etwa 80 Prozent der webbasierten Angriffe auf Browser Verschlüsselung und anderen Techniken benutzt haben. Üblich ist es beispielsweise, JavaScripte zu verschlüsseln und erst im Browser zur Laufzeit zu entschlüsseln.

Den gesamten Bericht stellt IBM auf seinen Servern zum Download zur Verfügung (PDF-Dokument): X-Force 2007 Trend Statistics (dab)