Eine über 2 Jahre reichende Auswertung zu den gefährlichsten
Arten von Softwareschwachstellen wurde nun von dem Community-Projekt
Common Weakness Enumeration (CWE) veröffentlicht. Speicherfehler
in Form von Pufferüberläufen seien demnach eine der größten
Gefahren. Für die Auswertung griff die CWE auf gemeldete Sicherheitslücken
aus der National
Vulnerability Database (NVD) zurück.
Der Out-of-bounds
Write - eine Variante des Buffer Overflows, bei welchem Software
Daten vor oder nach dem vorgesehenen Ende des Puffers schreibt -
steht mit etwas Vorsprung auf Platz 1. Angreifer könnten hierdurch
etwa sensible Daten überschreiben oder den weiteren Programmablauf
beeinflussen. Auf Platz 2 befindet sich Cross-Site
Scripting (XSS), welches zwar meist weniger kritisch ist, aber
dafür umso häufiger vorkommt. Der Out-of-bounds-Fehler
beim Lesen von Daten ist in der Liste auf Platz 3 geklettert - diese
Art von Speicherfehler ermöglicht beispielsweise das Auslesen
sensibler Daten.
Weitere Platzierungen und nähere Informationen hierzu sind
den von dem CWE-Projekt aufgestellten "Top
25 der Sicherheitslücken" zu entnehmen.
Das CWE-Projekt gibt in den Beschreibungen der Schwachstellenarten
neben Tipps zur Aufspürung vorhandener Lücken auch Hinweise
darauf, wie diesen vorgebeugt werden kann. Unter Anderem wird zur
Vermeidung von Buffer Overflows von vornherein der Einsatz einer
speichersicheren Programmiersprache empfohlen.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|