171074

Schlechte Noten für Apple in IBM-Sicherheitsstudie

06.08.2008 | 15:09 Uhr |

Laut des X-Force-Sicherheitsreports von IBM liefert Apple die Software mit den meisten Schwachstellen. Im Jahr 2007 gebührte der unrühmliche Titel noch Microsoft.

Während Apple 2007 noch Platz zwei hinter Microsoft belegte, liefert das Unternehmen laut des X-Force Reports nun die unsicherste Software vor dem Content-Management-System Joomla. Microsoft kam in diesem Jahr auf Platz drei.

Das endgültige Ergebnis war allerdings recht knapp, melden die Forscher des X-Force-Teams in ihrem halbjährlichen Bericht. Auf Apple entfielen 3,2 Prozent aller bekannten Sicherheitslücken, Joomla erreichte 2,7 Prozent und Microsoft 2,5 Prozent. IBM blieb auf Platz vier vor Hersteller Sun, der sich erstmals unter den ersten Top 5 befindet. Oracle und Cisco dagegen konnte Plätze gutmachen und kamen auf Platz sechs bzw. sieben.

Seit kurzem arbeitet die Datenbank des X-Force-Teams mit einer neuen Common Enumeration Platform (CPE), was dazu führte, dass sich auch auf PHP-Programme wie Joomla, WordPress und Drupal in die Top-Ten vorstießen. X-Force führt das darauf zurück, dass immer häufiger Sicherheitslücken in Webanwendungen vornehmlich durch Cross-Site-Scripting (XSS) oder SQL Injection gemeldet werden. Mehr als die Hälfte aller gemeldeten Schwachstellen (51 Prozent) waren auf Webserver-Anwendungen zurückzuführen. Wären die CPE-Kriterien herangezogen worden, hätte PHP bereits 2007 Platz vier eingenommen.

Bei der Zahl der im Umlauf befindlichen Schadsoftware führt nach wie vor Microsoft, gefolgt von Hewlett Packard und Apple. Etwa die Hälfte aller Exploits in den Top Ten entfielen auf diese drei Anbieter. Im Vergleich zu 2007 gingen die Sicherheitslücken im Internet Explorer und im Mozilla Firefox zurück. Bei beiden Browsern fanden sich sechs Memory-Corruption-Schwachstellen – 2007 wurden für den Explorer noch 20, für den Firefox acht gemeldet.

Laut X-Force würde 94 Prozent aller browserbasierten Attacken innerhalb 24 Stunden nach Bekanntgabe der Sicherheitslücke erfolgen. Die Zahl dieser Angriffe ließe sich verringern, wenn unabhängige Forscher die Schwachstellen nicht mehr veröffentlichten, sagt Kris Lamb, der verantwortliche Manager für X-Force. „Ohne ein einheitliches Vorgehen bei der Offenlegung von Sicherheitslücken läuft die Sicherheitsforschung Gefahr, Online-Kriminalität noch zu fördern“, erklärte er. „Nicht umsonst veröffentlichen wir von X-Force nicht die Codes der Schwachstellen, die wir finden. Vielleicht sollten auch andere langsam ihre Vorgehensweise überdenken.“

Der Studie zufolge seien die Schwachstellen in Hypervisors derzeit noch gering. Da sie aber zunehmen, könnten sie künftig die komplette virtualisierte Umgebung in Firmen gefährden.

0 Kommentare zu diesem Artikel
171074