Studie: Viele Sicherheitslücken bleiben ungepatcht

IBMs Sicherheitsdienstleister X-Force hat seinen Bericht über das Jahr 2008 vorgelegt und dabei einige interessante Details hervorgehoben. So habe es 2008 für 53 Prozent der im Laufe des Jahres bekannt gewordenen Lücken keine Patches gegeben. Auch bei den im Jahr 2007 veröffentlichten Lücken gebe es für 44 Prozent immer noch keine Updates. Laut X-Force schlössen einige Hersteller Lücken aus dem Vorjahr im neuen Jahr nicht mehr. Bei den Markführern sei dies indes besser: Unter den zehn führenden Herstellern verblieben nur 19 Prozent der Lücke ungepatcht.

Die meisten veröffentlichten Lücken gab es laut X-Force in Apples Mac OS X, das mit 14,3 Prozent die Liste der verwundbarsten Betriebssysteme anführt. Darauf folgen der Linux-Kernel mit 10,9 Prozent und Solaris mit 7,3 Prozent. Die Anteile der Windows-Betriebssysteme von XP bis Server 2008 liegen zwischen 4,1 Prozent und 5.5 Prozent.

Bild: X-Force

Microsoft führt aber weiterhin die Liste der Hersteller mit den meisten bekannt gewordenen Lücken an. Erstmals finden sich aber auch die Content-Management-Systeme Joomla, Drupal und Typo3 in der Liste. Das bestätigt den Trend, dass Webanwendungen mittlerweile zur Achillesferse geworden sind. 55 Prozent aller gemeldeten Lücken finden sich dort. In 74 Prozent der Fälle habe es für diese Schwachstellen auch keine Patches gegeben.

Bild: X-Force

Die populärsten Exploits für Browser nutzten Lücken in Microsofts MDAC-RDS-ActiveX-Control, im RealPlayer-IERPCtl-ActiveX-Control, im MS-WebViewFolderIcon-ActiveX-Control und in Apple QuickTime aus. Darüber hinaus war auch ein Anstieg der Angriffe auf Adobe-Plug-ins zu verzeichnen. Der komplette Bericht liegt auf den Seiten der X-Force zum Download bereit. (Daniel Bachfeld) / (dab)