CVE-Lagebild 2019: Debian, SUSE, Oracle führen Sicherheitslücken-Rangliste fürs erste Halbjahr an
Microsoft und Adobe sind bei der Topliste der Sicherheitslücken natürlich auch mit von der Partie. Adobes Lücken waren mit Abstand die kritischsten.
(Bild: NicoElNino / shutterstock.com)
- Fabian A. Scherschel
In einer Untersuchung der Gesamtzahl aller im ersten Halbjahr 2019 in der Schwachstellen-Datenbank VulnDB verzeichneten Software-Sicherheitslücken belegt das Debian-Projekt mit 602 Sicherheitslücken den ersten Platz. Darauf folgen SUSE und Oracle, Microsoft findet sich auf Platz fünf.
Adobe ist zwar als zehnter am Ende der Rangliste zu finden, hat aber mit einem durchschnittlichen CVSS Score von 7,14 mit Abstand die kritischsten Sicherheitslücken – alle anderen Hersteller in der Top-Zehn-Rangliste liegen einen knappen Punkt unter Adobe. Insgesamt haben Sicherheitsforscher für die Untersuchung alle 11.092 neuen Sicherheitslücken berücksichtigt, die bisher für das Jahr 2019 eingetragen wurden.
Mehr oder weniger
Durchgeführt wurde die Studie von der Sicherheitsfirma Riskbased Security, die im Vergleich zum ersten Halbjahr 2018 eine gesunkene Zahl an Sicherheitslücken in der von vielen Sicherheitsforschern genutzten Schwachstellen-Datenbank VulnDB konstatiert. Allerdings erwarten die Forscher, dass die Gesamtzahl der Lücken später noch steigt, da erfahrungsgemäß momentan noch Untersuchungen zu unveröffentlichten Sicherheitslücken aus dem ersten Quartal 2019 laufen, die erst später bekannt werden
Riskbased Security geht also davon aus, dass die Gesamtzahl der Sicherheitslücken im Jahr 2019 die des Vorjahres übertrifft, wie es bereits seit Jahren immer wieder der Fall ist. Die bisher zugeteilten CVE-Nummern für dieses Jahr legen denselben Schluss nahe – oft weiß man als Außenstehender nur, welche CVE-Nummer einer Sicherheitslücke bereits zugeteilt wurde, hat aber keine weiteren Informationen über die Schwachstelle. Da CVE-Nummern aufsteigend verteilt werden, lassen sich trotzdem einige begrenzte Schlüsse daraus ziehen.
Für ein Drittel der Lücken gibt es Exploits
Von den untersuchten 11.092 Sicherheitslücken aus dem ersten Halbjahr existieren für knapp ein Drittel (34 Prozent) öffentlich zugängliche Exploits – das heißt, die Lücken können von jedem, der etwas Recherche-Arbeit hineinsteckt, angegriffen werden. Ganze 53 Prozent der Lücken lassen sich auf die eine oder andere Art aus dem öffentlichen Netz ausnutzen.
Besonders interessant sind auch die 2,8 Prozent der Schwachstellen, die in kritischer Infrastruktur, sogenannten SCADA-Systemen, gefunden wurden. SCADA steht für Supervisory Control and Data Acquisition und bezeichnet in der Regel wichtige Kontrollsysteme in Fabriken und Kraftwerken. Weitere 4,5 Prozent der untersuchten Lücken betrafen Sicherheitssoftware wie Anti-Viren-Programme oder Firewalls. Im Linux-Kernel wurden in ersten Halbjahr 2019 insgesamt 68 Schwachstellen gemeldet.
(Bild: Riskbased Security)
Die fünf Spitzenreiter der Schwachstellen-Rangliste – Debian, SUSE, Oracle, IBM (ohne Red Hat) und Microsoft – verteilen fast ein Viertel aller in VulnDB gelisteten Sicherheitslücken auf ihre Software. Zusammen mit den anderen Firmen aus den Top Zehn – Canonical, Google, Red Hat, Cisco und Schlußlicht Adobe – stellen diese Hersteller fast vierzig Prozent aller Lücken. Der Spitzenreiter Debian tauschte seine Position mit Google, der Android-Hersteller war bei der Untersuchung vor einem halben Jahr auf dem Führungsplatz gelandet.
Schwachstellen-Meldungen sind eine schwierige Datenbasis
Allerdings sind die Zahlen auf Grund des unterschiedlichen Umgangs mit Sicherheitslücken bei den unterschiedlichen Herstellern etwas verzerrt: Während Microsoft vor allem Lücken in seiner eigenen Software stopft, veröffentlichen Linux-Entwickler wie Debian, SUSE, Canonical und Red Hat eine große Zahl an Sicherheitslücken in Drittsoftware, die mit ihrer Distribution ausgeliefert wird.
Viele dieser Lücken werden deshalb zwar unter dem Namen des Herstellers aufgeführt, stammen aber von außerhalb dessen direkten Einflussbereichs. Auch die Umstände, unter denen Sicherheitslücken gemeldet werden und in welchem Umfang ihnen CVE-Nummern zugeteilt werden, lassen sich manchmal schwer vergleichen. Trotzdem verdeutlichen die Rohdaten anschaulich, wie viele Sicherheitslücken mittlerweile von Herstellern aller Art fast ständig bearbeitet werden müssen. (fab)
