Sicherheitsl\u00fccken machen Anwendern und Entwicklern das Leben schwer, w\u00e4hrend sich Cyberkriminelle \u00fcber neue Einfallstore freuen. Blicken wir zur\u00fcck auf die 10 katastrophalsten Sicherheitsl\u00fccken \u2013 heute mit den Pl\u00e4tzen 5 \u2013 1.<\/p>\n
Der Adobe Flash Player schafft es auf unseren f\u00fcnften Platz: Adobe stopft und stopft und stopft \u2013 jedoch ohne gr\u00f6\u00dfere Erfolge, denn immer wieder tun sich im Flash Player neue Sicherheitsl\u00fccken auf. Das Problem an der Sache: Flash ist nahezu \u00fcberall vertreten; die enorme Verbreitung f\u00fchrt dazu, dass Anwender entweder auf zahlreiche Inhalte verzichten oder Sicherheitsl\u00fccken in Kauf nehmen m\u00fcssen.<\/p>\n
Im Oktober 2015 war etwa zu lesen: „Gerade erst hat Adobe das Flash-Update f\u00fcr Oktober verteilt, da klafft schon die n\u00e4chste L\u00fccke in der Player-Software.“ Die neuerliche Schwachstelle wurde bereits ausgenutzt und immer h\u00e4ufiger wurde dazu geraten, Flash zu deaktivieren oder gleich zu deinstallieren.<\/p>\n
Angesichts der Tatsache, dass Adobe mit dem L\u00f6cher flicken kaum mehr hinterherkommt und die Sicherheitsl\u00fccken h\u00e4ufig aktiv ausgenutzt wurden und werden, verabschieden sich immer mehr Plattformen von Flash-Inhalten. Mitte\/ Ende Dezember gab beispielsweise Facebook an<\/a>, den hauseigenen Videoplayer von Flash auf HTML5 umzustellen. Andere werden nachziehen und Flash mitsamt seinen Sicherheitsl\u00fccken langsam aber sicher den Garaus machen.<\/p>\n Im Jahre 2003 zitterte die Welt vor einem neuen Wurm: „SQL Slammer“ breitete sich rasant im World Wide Web aus und nutzte dazu eine Schwachstelle in Microsofts SQL-Server. Von infizierten Systemen griff der Wurm per Zufallsprinzip andere Systeme im Web an und verursachte einen enorm hohen Traffic. Binnen 12 Stunden soll Slammer mehrere Milliarden Angriffe erreicht haben.<\/p>\n Diese enorm hohe Verbreitung von Slammer konnte nur durch eine Schwachstelle in Microsofts SQL 2000 Server erreicht werden. Seit Oktober 2002 stand daf\u00fcr bereits ein Patch bereit. Die immense Verbreitung von Slammer zeigt die hohe Update-M\u00fcdigkeit. Slammer soll sich z\u00fcgiger verbreitet haben als „Code Red“ und hat durch die durch ihn generierte Datenlast die Performance im Internet tiefgreifend beeinflusst. Weitere Informationen \u00fcber Slammer finden Sie beispielsweise bei golem.de<\/a>.<\/p>\n 1,4 Milliarden Android-Ger\u00e4te \u2013 lassen Sie sich das bitte auf der Zunge zergehen: 1,4 Milliarden! – waren und sind von der Mutter aller androiden Sicherheitsl\u00fccken betroffen: Stagefright. Das Leck war nicht neu, betroffen sind nahezu s\u00e4mtliche Android-Ger\u00e4te, also ab Systemversion 1.0 bis hin zur Version 5.1.1 (Lollipop).<\/p>\n Stagefright und Stagefright 2, der Nachfolger, der Ende 2015 Anwender in Angst und Schrecken versetzte, machen Android-Devices zur Wanze. Jeweils eine L\u00fccke in der Medienbibliothek „libstagefight“ sowie in der Systemdatei „libutils“ erm\u00f6glichen Stagefright, wobei es erst die l\u00fcckenhafte Medienbibliothek erm\u00f6glicht, die Sicherheitsl\u00fccke mithilfe modifizierter MP3- oder MP4-Dateien auszunutzen. Um einen Angriff auszuf\u00fchren, gen\u00fcgt bereits das Laden von Metadaten. Der Angreifer \u00fcbernimmt dann die Kontrolle des Android-Ger\u00e4ts. Die erste Stagefright-L\u00fccke machte Angriffe besonders \u00fcber manipulierte MMS-Nachrichten kinderleicht.<\/p>\n Erfolgreiches Ausnutzen der L\u00fccke bringt Angreifern Zugriffsrechte. S\u00e4mtliche Fotos, Videos, das Aktivieren von Bluetooth, das Auslesen der SD-Karte \u2013 all das ist m\u00f6glich, ohne dass Anwender auch nur etwas davon mitbekommen. Im Oktober reagierte Google<\/a> auf die Schwachstelle und verteilte Sicherheitsupdates. In der Android-Version 6.0 (Marshmallow) sind die Patches bereits inklusive, sodass diese Version nicht betroffen ist. Auch CyanogenMod hat reagiert<\/a> und stopfte die L\u00fccken. Alles Wissenswerte inklusive der Information, welcher Hersteller zu wann Updates geplant hat, k\u00f6nnen Sie auf AndroidPit nachlesen<\/a>.<\/p>\n Shellshock gelangte auch unter dem Namen „Bash-Sicherheitsl\u00fccke“ an zweifelhafte Ber\u00fchmtheit: die Sicherheitsl\u00fccke befand sich in der Kommandozeile Bash, woraus sich auch ihr Name entwickelte. Fachleute sch\u00e4tzten die Sicherheitsl\u00fccke als \u00e4hnlich dramatisch ein wie Heartbleed \u2013 und das m\u00f6chte was hei\u00dfen! Unter der offiziellen ID CVE-2014-6271<\/a> wurde Shellshock in der CVE-Datenbank des NIST gef\u00fchrt und mit einer maximalen Gef\u00e4hrlichkeit (10 Punkte) eingesch\u00e4tzt.<\/p>\n In der Funktionalit\u00e4t von Bash lag der Kern des ganzen Problems: die Funktion erlaubt, mit beliebigen Variablen Funktionen zu definieren. Wie die Variable hei\u00dft, ist unerheblich. Der Fehler sorgt nun daf\u00fcr, dass hinter einer Funktionsdefinition unbemerkt und vor allem ungepr\u00fcft weiterer Code ausgef\u00fchrt werden kann \u2013 selbst dann, wenn die Funktion nicht aufgerufen wird.<\/p>\n Bedeutet im Umkehrschluss: das Ausnutzen der Sicherheitsl\u00fccke ist ein Kinderspiel. Neu ist dieser Fehler im \u00dcbrigen nicht, schon seit \u00fcber zwei Jahrzehnten ist die Sicherheitsl\u00fccke Teil des Bash-Codes. Da Bash unter zahlreichen Linux-Systemen sowie unter Mac OS X als Standardshell Einsatz findet, k\u00f6nnen Sie sich die immense Verbreitung lebhaft vorstellen. Alle weiteren Details inklusive der M\u00f6glichkeit, Ihr System auf die Sicherheitsl\u00fccke Shellshock zu testen, lesen Sie bitte in unserem Beitrag „Shellshock: Schwachstelle macht Betriebssysteme angreifbar“<\/a> nach.<\/p>\n Auf Platz 1 der katastrophalsten Sicherheitsl\u00fccken aller Zeiten liegt: Heartbleed. Die Sicherheitsl\u00fccke klaffte in dem weitverbreiteten Tool OpenSSL. Angreifer konnten die Sicherheitsl\u00fccke ausnutzen, um private Keys von den Servern abzufangen \u2013 der Super-GAU in der Verschl\u00fcsselung! Wir richteten seinerzeit eine Notfall-Hotline ein<\/a>, um Sie nicht nur mit Rat und Tat, sondern auch mit dem kostenfreien Austausch Ihres SSL-Zertifikats zu unterst\u00fctzen.<\/p>\n Der Aufschrei \u00fcber die Sicherheitsl\u00fccke Heartbleed war gigantisch: namhafte Plattformen wie Facebook oder auch Dropbox waren genauso betroffen wie jede erdenkliche Website, die auf gesicherte TLS-Verbindungen setzt. Jedoch … nach dem ersten Aufschrei wurde es ruhig. Viel zu ruhig. Die Update-Bereitschaft stagnierte bereits zwei Wochen nach Bekanntwerden der Sicherheitsl\u00fccke. Als wir im November 2014, also sieben Monate nach Bekanntwerden von Heartbleed, f\u00fcr unseren Status Quo-Bericht<\/a> recherchierten, war die Update-M\u00fcdigkeit ern\u00fcchternd.<\/p>\n Es war notwendig, die SSL-Zertifikate<\/a> auszutauschen und die privaten Schl\u00fcssel zu \u00e4ndern. W\u00e4hrend den ersten Schritt immerhin noch viele gingen, verzichtete die gro\u00dfe Masse auf den Schl\u00fcsselaustausch und behielt somit wom\u00f6glich kompromittierte private Schl\u00fcssel. Bedenkt man, dass es bereits 21 Stunden und 29 Minuten nach der Ver\u00f6ffentlichung der Schwachstelle den ersten nachweisbaren Angriff gab, ist diese Update- und Austausch-M\u00fcdigkeit mehr als bedenklich.<\/p>\n Bei Sicherheitsl\u00fccken, die gravierende Folgen haben k\u00f6nnen, ist es unabdingbar, z\u00fcgig zu reagieren. Dabei unterst\u00fctzen wir Sie! Bleiben Sie stets auf dem Laufenden, indem Sie uns auf Facebook<\/a>, Google Plus<\/a> oder Twitter<\/a> folgen. Haben Sie ein konkretes Anliegen, f\u00fchlen Sie sich frei, mit unserem Support zu sprechen<\/a> \u2013 wir unterst\u00fctzen Sie mit Sicherheit!<\/p>\nPlatz 4: „SQL Slammer“ nutzt Sicherheitsl\u00fccke bei Microsofts SQL-Server<\/h3>\n
Platz 3: Stagefright \u2013 Mutter androider Sicherheitsl\u00fccken<\/h3>\n
Platz 2: Shellshock verbreitet Malware, Angst und Schrecken<\/h3>\n
Platz 1: Heartbleed \u2013 der Super-GAU<\/h3>\n
Katastrophale Sicherheitsl\u00fccken: wir sind Ihr Sicherheitspartner!<\/h3>\n