Zero Day-Lücken: Oft sind unzureichende Patches die Ursache

Ein signifikanter Teil der Zero Day-Lücken würde überhaupt nicht existieren, wenn die Software-Entwickler bekannte Bugs mit ein wenig mehr Aufmerksamkeit beheben würden. Denn oft genug beheben Fehler-Korrekturen nur einen Teil des eigentlichen Problems.
Sicherheit, Internet, Hacker, Laptop, Security, Kriminalität, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, Code, Programmierer, Coder, Sicherheitsexperten, Person, Sicherheitsexperte
Die Security-Forscherin Maddie Stone hat sich verschiedene Bugs angeschaut, die im vergangenen Jahr gemeldet und teilweise gepatcht wurden. Es zeigte sich, dass es eine ganze Reihe von Zero Days gab, die anderen Schwachstellen in den gleichen Produkten verdächtig ähnlich sahen. Das lag dann in der Regel daran, dass der Patch schlicht nicht weitreichend genug war.

In einigen Fällen musste der Angreifer in seinem Exploit lediglich ein oder zwei Zeilen Code etwas anpassen, um eine Software trotz eingespielten Patches erneut angreifen zu können. Aus Sicht von Stone liegt das meist daran, dass Entwickler sich die Beschreibung einer Schwachstelle anschauen und dann dafür sorgen, dass der Beispiel-Exploit des Entdeckers nicht mehr funktioniert. Das bedeutet aber noch längst nicht, dass der Bug in der Software grundlegend verstanden und behoben wurde.

Vor allem in Browsern

Die Spezialistin arbeitete zwar mit einem relativ kleinen Satz an Samples, schätzt allerdings, dass sich ein Vierteil der neuen Zero Day-Lücken vermeiden ließe, wenn die Programmierer bei der Entwicklung von Patches ordentlich arbeiten würden. Das würde auch dazu führen, dass man Kriminellen die Arbeit deutlich erschweren würde.

Die Kritik richtet sich dabei ziemlich konkret auch an die Entwickler verschiedener Browser. Stone konnte hier zu jedem größeren Vertreter dieser Klasse eine Sicherheitslücke vorweisen, die lediglich eine leichte Abwandlung eines zuvor bereits gepatchten Problems darstellte. Und wahrscheinlich auch, damit ihr als Google-Angestellte keine Voreingenommenheit unterstellt wird, bekamen die Entwickler des hauseigenen Chrome-Browsers gleich zwei entsprechende Fälle um die Ohren gehauen.

Siehe auch:


Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 10:35 Uhr LabelCenter Beschriftungsgerät, 3D Prägegerät, Tragbarer Etikettiergerät,Etikettenprägegerät mit 6 Etikettenband,Etikettendrucker mit (£ ? Ä Ö Ü), Einfach zu verwenden-für Haus, BüroLabelCenter Beschriftungsgerät, 3D Prägegerät, Tragbarer Etikettiergerät,Etikettenprägegerät mit 6 Etikettenband,Etikettendrucker mit (£ ? Ä Ö Ü), Einfach zu verwenden-für Haus, Büro
Original Amazon-Preis
24,99
Im Preisvergleich ab
24,99
Blitzangebot-Preis
19,98
Ersparnis zu Amazon 20% oder 5,01
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!