Die Sicherheitsfirma Black Duck Software hat sich im Auftrag von IBM mit quelloffenen Komponenten kommerzieller Software beschäftigt und warnt nun, dass darin noch Dutzende alte Fehler stecken. Selbst so bekannte Lücken wie Heartbleed und Poodle waren in je rund 10 Prozent der Programme nicht gestopft. 40 Prozent der beobachteten Schwachstellen waren nach dem Common Vulnerability Scoring System mit Schweregrad 7 oder höher bewertet.
Dieser Informationsmangel hat natürlich Auswirkungen auf die Aktualisierungspolitik: Nicht bekannte Komponenten werden nicht gepatcht, was die Wahrscheinlichkeit steigen lässt, dass sich darin alte Bugs finden.
Insgesamt waren es 67 Prozent der Anwendungen, die anfällige Open-Source-Komponenten enthielten. Im Schnitt konnte Black Duck die Präsenz von fünf Bestandteilen mit bekannten Schwachstellen konstatieren, die aber durchaus mehr Anfälligkeiten aufwiesen: Die durchschnittliche Anzahl ungepatchter Lücken betrug 22,5 pro Anwendung.
Die gefundenen Schwachstellen waren im Schnitt etwa fünf Jahre alt. „Das weist darauf hin, dass die Firmen nichts von den Schwachstellen wussten, entweder weil ihnen die Präsenz einer Komponente unbekannt war oder weil sie öffentlich verfügbare Ressourcen zu Schwachstellen nicht genutzt hatten“, heißt es in dem Bericht.
Der für Black Ducks Produktstrategie zuständige Vizepräsident Mike Pittenger erklärte, das Problem sei keinesfalls die Verwendung von Open-Source-Software. Vielmehr sei ihr Einsatz nicht ausreichend bekannt, und die Firmen würden sich auch zu wenig über neue Schwachstellen informieren.
Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent
IBM weist mit Veröffentlichung der Zahlen darauf hin, dass es zusammen mit Black Duck eine Lösung anbietet, um Open-Source-Komponenten und ihre Schwachstellen zu identifizieren, zu beheben und zu kontrollieren. Kunden können ihre Anwendungen mit IBM AppScan untersuchen und sich anschließend über den Black Duck Hub fortlaufend informieren lassen, welche ihrer Anwendungen von einer neu entdeckten Lücke betroffen sind. Freilich kann man die Verwendung von OSS-Komponenten auch von vornherein selbst gründlich dokumentieren und diese jeweils bei Verfügbarkeit eines Patches aktualisieren.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…