Eine über 2 Jahre reichende Auswertung zu den gefährlichsten Arten von Softwareschwachstellen wurde nun von dem Community-Projekt Common Weakness Enumeration (CWE) veröffentlicht. Speicherfehler in Form von Pufferüberläufen seien demnach eine der größten Gefahren. Für die Auswertung griff die CWE auf gemeldete Sicherheitslücken aus der National Vulnerability Database (NVD) zurück.

Der Out-of-bounds Write - eine Variante des Buffer Overflows, bei welchem Software Daten vor oder nach dem vorgesehenen Ende des Puffers schreibt - steht mit etwas Vorsprung auf Platz 1. Angreifer könnten hierdurch etwa sensible Daten überschreiben oder den weiteren Programmablauf beeinflussen. Auf Platz 2 befindet sich Cross-Site Scripting (XSS), welches zwar meist weniger kritisch ist, aber dafür umso häufiger vorkommt. Der Out-of-bounds-Fehler beim Lesen von Daten ist in der Liste auf Platz 3 geklettert - diese Art von Speicherfehler ermöglicht beispielsweise das Auslesen sensibler Daten.

Weitere Platzierungen und nähere Informationen hierzu sind den von dem CWE-Projekt aufgestellten "Top 25 der Sicherheitslücken" zu entnehmen.

Das CWE-Projekt gibt in den Beschreibungen der Schwachstellenarten neben Tipps zur Aufspürung vorhandener Lücken auch Hinweise darauf, wie diesen vorgebeugt werden kann. Unter Anderem wird zur Vermeidung von Buffer Overflows von vornherein der Einsatz einer speichersicheren Programmiersprache empfohlen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE