Software im Schwachstellen-Vergleich

Fast 2.100 geschlossene Schwachstellen bei gängigen Softwareprodukten listet die Schwachstellenampel des Computer Emergency Response Team der Bundesverwaltung für die vergangenen 12 Monate. Spitzenreiter ist mit insgesamt 346 Nennungen - davon 183 kritischen - das Betriebssystem OS X von Apple.

Die meisten kritischen Schwachstellen gehen indes auf das Konto des Flash Players (207). Auch Adobe Reader und Adobe Acrobat fallen regelmäßig durch potentiell gefährliche Bugs auf. Flash wird mittlerweile überwiegend als Ressourcen-fressendes Sicherheitsrisiko gesehen, weshalb immer mehr Unternehmen (z.B. Amazon und Mozilla) zuletzt vom einstigen Standard für bewegte Webinhalte abrückten.
Quelle: Statista
Diese Infografik empfehlen
Jetzt einen Kommentar schreiben
 
Die Statistik ist ziemlich nichtssagend... Keine Versionen-> keine Übersicht ob nur die alten Versionen noch große Lücken aufweisen, jedoch nicht mehr Unterstützt und gepatcht werden(Safari, IE, Windows XP, etc.). Deshalb ist die Statistik in meinen Augen ziemlicher Müll LOL.
 
@L_M_A_O: wozu brauchst du Versionen? Ich finde, wenn du die Statistik über Versionen machst, ist sie unübersichtlich.

Das was du hier siehst ist die Software kumuliert, wie sie im Netz zu finden ist und das daraus resultierende Gefahrenpotential.

Es bringt ja nichts, wenn deine 70 jährige Nachbarin einen PC hat, der viele Schwachstellen aufweist, weil sie ihn nicht aktualisiert, dann zu behaupten, dass zwar alle Windows XP Ssyteme unsicher sind, aber Windows 10 Systeme nicht.

So kann man genau sagen, alle iOS, die im Umlauf sind, haben diese Schwachstellen und sind damit potentiell gefährdet.
 
@b.marco: IOS und Android tauchen in dieser Statistik leider nicht auf. OS X und Linux aber durchaus. Darüber, ob iOS bzw. Android OS X bzw. Linux zugerechnet oder schlicht nicht erfasst werden, konnte ich bislang leider keine Angabe finden.
 
@TiKu: und wer behauptet dass diese Statistik über Mobile Geräte gemacht wurde? Ich sehe nur Software für x86 oder x64 Systeme
 
@b.marco: Niemand behauptet das, auch ich nicht. Aber du schriebst von iOS.
 
@TiKu: ups... sollte nur OS heissen.
 
@TiKu: Zitat "IOS und Android tauchen in dieser Statistik leider nicht auf. OS X und Linux aber durchaus.", komisch. Linux kann ich weder im Bild noch im Text finden, schade, da mich die Beurteilung einer Windiows Alternative im Vergleich zu Windows interessiert hätte.
 
@Helmut Baumann: Schau dir die Originalquelle an, da findest du Linux.
 
@b.marco: "So kann man genau sagen, alle iOS, die im Umlauf sind, haben diese Schwachstellen und sind damit potentiell gefährdet."

Naja, nicht ganz. Oben in der Liste werden "Fixes" geführt, d.h. diese sind irgendwann mit einem Update ausgerollt worden. Innerhalb eines Jahres wird aber nicht 1 sondern sehr viele Updates verteilt. Daraus ergeben sich viele Versionsnummer mit unterschiedlicher Qualität - Idealerweise ist die letzte Versionsnummer immer die mit den meisten Fixes.

Nun geht aus der Liste aber nicht hervor, wann die Updates verteilt wurden und wann zu welchem Zeitpunkt wieviele der Fixes ausgerollt wurden.
Die Anzahl der Fixes müsste also auf einer Zeitachse von einem Jahr mit Versionsnummer und Anzahl an Fixes geführt werden. Die Grafik ist daher absolut nichts sagend.
 
@Rumpelzahn: ich lese aus der Grafik 2 Dinge...
1. Apple war fleissig und hat viele Schwachstellen geschlossen,
2. Apple hat viele Schwachstellen :)
 
@b.marco: in den letzten 12 Monaten kam für OS X 10.11, 10.10 und 10.9 Updates heraus. Nicht alle Fixes waren jeweils in den anderen notwendig, der Wert oben sagt zwar aus viele Schwachstellen, aufgeteilt auf unterschiedliche Versionen ist der Wert aber gering. Wenn Du eh schon 10.11 nutzt sind die fixes für 10.9 für dich uninteressant.
Die Zusammenfassung ist also irreführend.
 
@Rumpelzahn: Nur wenn dann kein 10.9 mehr im Umlauf wäre.
 
@b.marco: Versionen machen durchaus Sinn, wenn man wissen will welche Software AKTUELL am (un)sichersten ist. Gibt ja sicherlich deutlich mehr alte Windows Versionen, als OS X, was den Unterschied ja noch vergrößern würde.
Edit: Sehe gerade, dass das die Anzahl der geschlossenen Lücken ist! Jetzt könnte man meinen, dass OS X sicherer ist, weil jetzt weniger Lücken da sind ^^
 
Irgendwie irreführend. Unter dem "Schwachstellen-Vergleich" habe ich mir jetzt was anderes vorgestellt.

Die Anzahl an Bugfixes (Kritisch/Unkritisch) sagt jetzt was aus? Andere fixen ihre Bugs nicht? Andere haben weniger Bugs? Andere ignorieren ihre Bugs? Ist es positiv oder negativ das OS X so viele Fehler behebt, oder beheben muss? Was soll ich mit dieser Grafik anfangen?
 
@Rumpelzahn: Klick doch mal auf den Link im ersten Satz. Dann siehst du, dass offene Schwachstellen durchaus geführt werden, aber bei allen für den genannten Zeitraum auf 0 stehen. Davon ausgehend, dass dies tatsächlich bedeutet, dass in dieser Datenbank keine bekannten offenen Sicherheitslücken zu finden sind, würde das bedeuten, das ALLE Hersteller brav die Lücken geschlossen haben. Das würde wiederum bedeuten, dass OS X sehr wohl die meisten bekannten Lücken hat(te).
 
@TiKu: ja und wenn man sich deren Seite durchließt ist die Einordnung von Bugs in deren Kategorien einzig und allein die Meinung der Bürger-CERT. Es Spiegelt nicht die Realität wieder. Demnach hätte keines der oben geführten Produkte aktuell Fehler, jede Software würde Reibungslos funktionieren ...
 
Das ganze ist doch total nichtssagend? Die Anzahl an geschlossenen Lücken an sich sagt doch überhaupt nichts aus.
 
@ger_brian: Nun, all diese Lücken waren einmal offen.
 
@TiKu: Das ist richtig. Aber hier wird ein Vergleich aufgezeigt, der absolut nichtssagend ist. Ist hier eine große Anzahl an geschlossener Lücken gut, weil auf Sicherheitslücken reagiert wird, oder ist es schlecht, weil das System vorher lückenhaft war? Nichts davon geht hervor, deshalb ist die Info alleine relativ wertlos.
 
@ger_brian: Also dass es nichts aussagt ist nicht ganz richtig, allerdings ist die Aussagekraft schon recht gering.

Angenommen System x hat 10000 Schwachstellen und das System y nur 1000, dann sind 300 geschlossene Schwachstellen auf beide bezogen ganz anders zu werten, v.a. auf die noch nicht geschlossenen Schwachstellen bezogen...

Wenn man so will gibt die Statisik nur die Ableitung an aber nicht den tatsächlichen Wert.
 
Was bringt die Anzahl der Lücken, wenn die Schwachstellen kaum ausgenutzt werden können, weil es an der Verbreitung der Software scheitert?

Sogesehen sind die Flash Lücken schlimmer als die von OS X.
Wenn von 1000 Computern 900 mit Windows laufen, 50 mit Linux & 50 mit OS X. Und von den 900 mit Windows nur 800 Flash haben, dann kann ich mit einer Flash Lücke viel mehr Schaden anrichten.
 
das ist praktisch weißes rauschen ... um diese "statistik" brauchbar zu machen fehlen ein paar parameter:

1. exakter vergleich nach versionen zumindest bei den OS. es ist schließlich schon ein recht markanter unterschied zwischen windows 3.11 und 10. gleiches gilt für apple.

aber noch viel wichtiger:

2. durchschnittszeit bis zur behebung der sicherheitslücke

selbst eine kritische lücke ist ein überschaubares problem, wenn sie sofort und nachhaltig beseitigt wird. andererseits kann ein einfacher bug zum großen problem werden wenn er ungepatched bleibt.


Kommentar abgeben Netiquette beachten!