Sicherheitslücken-Statistik: 2023 gab es 15 Prozent mehr CVEs als im Vorjahr

Die jährlich gemeldete Zahl an Sicherheitslücken kennt seit Jahren nur eine Richtung – nach oben. Auch das vergangene Jahr erwies sich als Rekordjahr, wie Jerry Gamblin, Mitarbeiter des Netzwerkausrüsters Cisco ermittelt hat. Die CVE-Datenbank ist 2023 um fast 29.000 Einträge gewachsen, ein Zuwachs von 15 % gegenüber dem Vorjahr. Dabei ist etwas Vorsicht geboten: Nicht jede Sicherheitslücke erhält eine CVE-ID und umgekehrt gibt es solche, die gleich mehrere Kennungen tragen.

Ein Produkt ragt aus der Masse der Sicherheitsmeldungen heraus: Allein 547 CVEs betrafen Android 12, das in der ewigen Statistik somit auf Platz 5 steht. Die ersten vier Plätze belegen verschiedene Versionen des Acrobat Reader, die insgesamt seit Beginn der Zählung unter etwa 7.000 gemeldeten Sicherheitslücken litten.

Durchschnittliches Risiko ist "hoch"

Der Schweregrad der Security-Bugs in der CVE-Datenbank betrug im abgelaufenen Jahr durchschnittlich 7,12 von 10 CVSS-Punkten – die 2023er "Standard-Lücke" hatte also ein hohes Risiko. Immerhin 36 Fehler schafften den Höchstwert von 10.0 und somit einen kritischen Schweregrad, darunter etwa Lücken in Firefox und GitLab. Der Maximalwert ist nur für Sicherheitsprobleme erreichbar, die Angreifer aus der Ferne ohne vorherige Anmeldung zur Ausführung eigenen Schadcodes nutzen können, markiert also fast immer ein wirklich gefährliches Leck.

Das Recht, CVE-Nummern zu vergeben und somit einen Softwarefehler als Sicherheitsproblem einzustufen, haben derzeit 346 sogenannte CNAs (CVE Numbering Authority, etwa: CVE-Nummerierungsstelle), darunter alle großen Softwarehersteller, Linuxdistributionen, Behörden und Hersteller von Computerhardware.

Obgleich Android 12 in der Produktstatistik vorn liegt, kamen im vergangenen Jahr die meisten Sicherheitsmeldungen aus einer anderen Richtung: PatchStack, eine CNA für das Wordpress-Ökosystem, reichte über 2.000 Meldungen ein. Zählt man die Branchenkollegen WPScan und Wordfence, den Fünft- bzw. Sechstplatzierten der jährlichen Statistik, hinzu, machen Fehler im Wordpress-Umfeld somit über zehn Prozent der gemeldeten CVE-Kennungen aus. Microsoft wurde mit etwa tausend CVEs zu seinen Produkten immerhin noch Vierter der CNA-Rangliste.

Gamblin wagt eine Prognose für das Jahr 2024. Seiner Einschätzung nach könnten in diesem Jahr 32.600 CVE-Einträge entstehen und somit erstmalig über 30.000 in einem Jahr. Zudem stellt er Code und Quellen seiner Statistik auf einer eigens eingerichteten Webseite bereit.

Kritik am CVE-System und automatisierten Meldungen für Sicherheitslücken kam von cURL-Entwickler Daniel Stemberg. So protestierte er im September öffentlich gegen einen seiner Ansicht nach falschen CVE-Eintrag und erst kürzlich wählte der schwedische Programmierer recht deftige Worte zu einem offenbar KI-generierten Fehlereintrag auf der Plattform Hackerone.

(cku)