163030

SANS-Institut: Hitliste der Sicherheitslücken

25.11.2005 | 08:39 Uhr |

Die jährliche Rangliste der Sicherheitslücken zeigt eine Tendenz zu Angriffen auf Anwendungen.

Seit Sommer 2000 gibt das SANS-Institut eine jährliche Rangliste der wichtigsten Sicherheitslücken heraus. In diesem Jahr enthält die Liste neben den Kategorien "Windows" und Unix" erstmals auch die Kategorien "Netzwerkprodukte" und "Plattform-übergreifende Anwendungen".

Die neuen Untergruppen dokumentieren die beobachtete Tendenz, dass Angriffe sich nicht mehr nur auf Schwachstellen in Betriebssystemen wie Windows oder Unix (inklusive Mac OS X) konzentrieren. Sie richten sich vielmehr auch gegen Plattform-übergreifende Anwendungen und Netzwerkprodukte. Dazu zählen unter anderem Virenscanner, PHP-Scripte oder auch Hardware-Router.

Die Windows-Kategorie wird von diversen Schwachstellen in Systemdiensten angeführt, gefolgt von Sicherheitslücken im Internet Explorer. Unter den Unix-Problemen sind vor allem Konfigurationsfehler aufgelistet sowie die zahlreichen von Apple mit monatlichen Updates geschlossenen Schwachstellen in Mac OS X.

Die neue Kategorie "Cross-Platform Applications" (Plattform-übergreifende Anwendungen) führt auf dem ersten Platz Schwächen in Backup-Programmen auf. Hier sind in letzter Zeit vor allem Produkte der Symantec-Tochter Veritas und von CA durch ausnutzbare Fehler aufgefallen. Auf dem zweiten Platz folgen bereits Antivirus-Programme, die vorwiegend durch die von Alex Wheeler und anderen entdeckten Schwächen bei der Behandlung komprimierter Archivdateien von sich reden machten.

Fehler in PHP und diversen PHP-basierten Web-Anwendungen folgen auf Rang 3 in dieser Gruppe. Auf dem vierten Platz rangieren Datenbanken, die häufig über PHP angesteuert werden. Weitere Einträge betreffen unter anderem P2P-Software, Instant Messenger, Mozilla und Firefox sowie Java (unter sonstige). Bei den Netzwerkprodukten dominieren Cisco-Geräte die Liste.

Die Liste der Schwachstellen ist recht umfangreich, zum Beispiel 27 bei Mozilla und Firefox. Dies allein sagt jedoch noch nicht viel über die praktische Relevanz der einzelnen Sicherheitslücken. Die Gesamtliste ist nicht genau auf das Jahr 2005 eingegrenzt, einige Monate aus dem Vorjahr wurden auch noch mit einbezogen.

SANS Top 20 Internet Security Vulnerabilities

0 Kommentare zu diesem Artikel
163030