CVE-Jahresrückblick: Android und Adobe mit den meisten Sicherheitslücken

Geht man nach Sicherheitslücken mit CVE-IDs, war Android mit großem Abstand die Software mit den meisten öffentlich bekannt gewordenen Sicherheitslücken im Jahr 2016. Adobe führt die Liste der per Hersteller gemeldeten Lücken knapp vor Microsoft an, was wenig verwundert, da die Software der Firma die Plätze 4 (Flash), 7,8 und 9 der Top Ten belegt. Auf Platz 10 findet sich der Linux-Kernel.

Für Android wurden im vergangenen Jahr 523 der 6435 CVE-Nummern vergeben, für die bisher öffentliche Informationen vorliegen. Insgesamt wurden knapp 10.000 CVE-IDs reserviert, viele davon existieren allerdings nur als reine Identifikationsnummer ohne dass öffentlich bekannt wäre, welche Software sie betreffen und fallen damit aus der Analyse der Webseite CVE Details heraus.

Auf Platz 2 und 3 der Liste finden sich die Linux-Distributionen Debian und Ubuntu – vor allem deshalb, weil sie sehr viel Open-Source-Software bündeln und viele der Lücken in dieser Software den Distributionen angerechnet wird. MacOS folgt auf Platz 11 direkt hinter dem Linux-Kernel und diverse Windows-Versionen belegen die Plätze 13,16,17,18, 20, 22 und 27 der CVE-Rangliste.

Was ist eine CVE-Nummer?

Die Common Vulnerabilities and Exposures (CVE) Datenbank des Nonprofits MITRE hat sich über die Jahre als definitives Register öffentlicher Sicherheitslücken etabliert. Entdecker von Lücken können CVE-Nummern über eine Reihe von Dienstleistern beantragen.

Die Forscher reservieren CVE-IDs (im Format CVE-2016-XXXX) meist ohne Angabe weiterer Details und reichen diese (betroffenes Produkt, Details zur Lücke und zu etwaigen Patches) erst nach, wenn die Lücke öffentlich wird. Meist passiert dies, nachdem die Lücke gestopft wurde. Anfang 2014 musste MITRE die fortlaufende Nummerierung der IDs pro Jahr auf mehr als vier Stellen erhöhen, da jedes Jahr mehr CVEs beantragt werden. (fab)