Studie: Kommerzielle Software steckt voller alter Open-Source-Lücken

Die Sicherheitsfirma Black Duck Software hat sich im Auftrag von IBM mit quelloffenen Komponenten kommerzieller Software beschäftigt und warnt nun, dass darin noch Dutzende alte Fehler stecken. Selbst so bekannte Lücken wie Heartbleed und Poodle waren in je rund 10 Prozent der Programme nicht gestopft. 40 Prozent der beobachteten Schwachstellen waren nach dem Common Vulnerability Scoring System mit Schweregrad 7 oder höher bewertet.

Die Daten wurden für IBM Security AppScan zusammengetragen. Im Sechsmonatszeitraum bis März 2016 hat Black Duck dafür rund 200 kommerzielle Anwendungen untersucht. Im Durchschnitt enthielten diese mehr als 100 quelloffene Komponenten. Zu Beginn einer solchen Prüfung ist den Anbietern typischerweise aber nur etwa die Hälfte dieser Bauteile bekannt.

Dieser Informationsmangel hat natürlich Auswirkungen auf die Aktualisierungspolitik: Nicht bekannte Komponenten werden nicht gepatcht, was die Wahrscheinlichkeit steigen lässt, dass sich darin alte Bugs finden.

Insgesamt waren es 67 Prozent der Anwendungen, die anfällige Open-Source-Komponenten enthielten. Im Schnitt konnte Black Duck die Präsenz von fünf Bestandteilen mit bekannten Schwachstellen konstatieren, die aber durchaus mehr Anfälligkeiten aufwiesen: Die durchschnittliche Anzahl ungepatchter Lücken betrug 22,5 pro Anwendung.

Loading ...

Die gefundenen Schwachstellen waren im Schnitt etwa fünf Jahre alt. „Das weist darauf hin, dass die Firmen nichts von den Schwachstellen wussten, entweder weil ihnen die Präsenz einer Komponente unbekannt war oder weil sie öffentlich verfügbare Ressourcen zu Schwachstellen nicht genutzt hatten“, heißt es in dem Bericht.

Der für Black Ducks Produktstrategie zuständige Vizepräsident Mike Pittenger erklärte, das Problem sei keinesfalls die Verwendung von Open-Source-Software. Vielmehr sei ihr Einsatz nicht ausreichend bekannt, und die Firmen würden sich auch zu wenig über neue Schwachstellen informieren.

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

IBM weist mit Veröffentlichung der Zahlen darauf hin, dass es zusammen mit Black Duck eine Lösung anbietet, um Open-Source-Komponenten und ihre Schwachstellen zu identifizieren, zu beheben und zu kontrollieren. Kunden können ihre Anwendungen mit IBM AppScan untersuchen und sich anschließend über den Black Duck Hub fortlaufend informieren lassen, welche ihrer Anwendungen von einer neu entdeckten Lücke betroffen sind. Freilich kann man die Verwendung von OSS-Komponenten auch von vornherein selbst gründlich dokumentieren und diese jeweils bei Verfügbarkeit eines Patches aktualisieren.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago