Mittwoch, 4. Februar 2009

Studie: Softwarehersteller kümmern sich häufig nicht um Sicherheitslücken ihrer Software

Studie: Viele Sicherheitslücken bleiben ungepatcht (Heise.de)

Ausschnitt:

IBMs Sicherheitsdienstleister X-Force hat seinen Bericht über das Jahr 2008 vorgelegt und dabei einige interessante Details hervorgehoben. So habe es 2008 für 53 Prozent der im Laufe des Jahres bekannt gewordenen Lücken keine Patches gegeben. Auch bei den im Jahr 2007 veröffentlichten Lücken gebe es für 44 Prozent immer noch keine Updates. Laut X-Force schlössen einige Hersteller Lücken aus dem Vorjahr im neuen Jahr nicht mehr. Bei den Markführern sei dies indes besser: Unter den zehn führenden Herstellern verblieben nur 19 Prozent der Lücke ungepatcht. (Quelle: Heise.de)

Wobei es wohl nicht so sehr auf die Anzahl ankommt, sondern auch auf die Art einer Sicherheitslücke. Viele Sicherheitslücken, die nur unter ganz bestimmten Bedingungen tatsächlich für den Anwender zu einem Problem führen, sind eventuell weniger risikoreich als eine oder wenige Sicherheitslücken, die viele Anwender unter nicht-exotischen Bedingungen einem Risiko aussetzen.

Allerdings könnten staatliche Stellen, die gezielt einzelne Personen ausschnüffeln wollen, auch solche "exotischen" Sicherheitslücken für ihre Zwecke ausnutzen (Stichwort "Bundestrojaner"). Kriminelle, die es nur auf das Geld von Computernutzern abgesehen haben, interessieren sich wohl eher für diejenigen Sicherheitslücken, die unter weniger exotischen Randbedingungen, also mit einer größeren Wahrscheinlichkeit, bei vielen Computernutzern ausnutzbar sind.

0 Kommentar(e) vorhanden: