so-lasst uns mal schauen welche Software die sicherheitskritischte ist

so-lasst uns mal schauen welche Software die sicherheitskritischte ist (31 Beiträge, 375 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Top Liste der Applikationen mit den meisten Sicherheitslücken
Das amerikanische Sicherheitsunternehmen Bit9 hat die Hitliste der Programme veröffentlicht für welche die meisten Sicherheitslücken existieren.

Interessanterweise ist Mozilla/Firefox an Platz eins und erst auf Platz 9 kommt eiun Microsoft Produkt (MSN Messenger 5.5).

1. Mozilla Firefox 1.0.7
2. Apple iTunes 6.02 & Quicktime 7.0.3
3. Skype 1.4
4. Adobe Acrobat Reader 7.02, 6.03
5. Sun Java Run-Time Environment (JRE) 50,
Update 3, JRE 1.4.2_.08
6. Macromedia Flash 7
7. WinZip 8.1 SR-1
8. AOL Instant Messenger 5.5
9. Microsoft Windows/MSN Messenger 5.0
10. Yahoo Instant Messenger 6.0
11. Sony/First4 Internet DRM rootkit and uninstaller
12. BitDefender 9
13. Kazaa 2.0.2
14. RealPlayer 10
15. ICQ 2003a

Quelle:

http://www.bit9.com/docs/VulnerableApps.pdf

und wieter:

Das United States Computer Emergency Readiness Team (US-Cert) hat auf seiner Website den Jahresbericht vorgelegt. Insgesamt wurden knapp 5200 Sicherheitslücken im vergangenen Jahr registriert. Davon betrafen 812 Windows-Betriebssysteme. Unter Unix/Linux wurden insgesamt 2328 Anfälligkeiten registriert.

Quelle: http://www.tecchannel.de/news/themen/sicherheit/128757/

25.06.2006, 23:48 Uhr - Editiert von SchusterHarry, alte Version: hier

Nur die Anzahl sagt über das Gefahrenpotential der Sicherheitslücke nichts aus. Trotzdem einmal ganz interessant. Besonders 11. gefällt.

Nur die Anzahl sagt über das Gefahrenpotential der Sicherheitslücke nichts
aus. Trotzdem einmal ganz interessant

das sagt auch keiner.............

Dann schau einmal Deinen Betreff an.

loss mi in Ruhe

viel spaß deinen kunden!

Besonders 11. gefällt

ich find 12. besonders interessant....

war auch mein erster gedanke

________________
Mein Notebook:
Maxdata Pro 8100X

Besonders 11. gefällt.

Why?

Eine Sicherheitslücke bei einem Rootkit?

Ach ja, stimmt!

So weit hab ich diese Position gar nicht durchgelesen, da bewahrheitet sich der Spruch:
"Wer lesen kann ist klar im Vorteil!"
Ein weiteres Mal!

Aber immerhin hast ne Quellenangabe, wo man auch lesen kann:

Der Großteil der aufgelisteten Sicherheitslücken ist nicht direkt dem Betriebssystem zuzuschreiben, sondern vor allem den darauf installierten Anwendungen. Teilweise wurden in der Auflistung auch gleiche Berichte zu Sicherheitslücken mehrfach gezählt, weil es für die Berichte ein Update gab.

Nun ja, wieviele App-Binaries kommen pro Linux-Distri daher ? 2000-10000 würde ich schätzen... Welche Anwendungen kommen hingegen bei einer Windows-Installation mit ? Notepad, Mediaplayer, hearts - und 20 ähnlich "komplexe"

EDIT:
Abgesehen davon:
FF ist in einer wirklich älteren Version genannt... und FF rennt unter Windows, oder ?

26.06.2006, 00:07 Uhr - Editiert von gepeinigter_aon_neukunde, alte Version: hier

Ist denn eine sicherheitskritische Software nicht eine, die fehlertolerant sein muss, wie z.B. für AKWs?

sagt genau nüsse aus... und ist ausserdem schon mal da gewesen, aber sie versuchens ja immer wieder.

(brainkilled v1.8 (Mon Feb 19 19:35:00 1985): zu blöd um dieses dumme tool gscheit zu konfigurieren)

Wie sicherheitskritisch ein System ist hängt von vielen Faktoren ab. Die vier wesentlichen dabei:

1. Einsatzgebiet
2. Verbreitung
3. Art des Sicherheitsloches
4. Aufwand zur Nutzung

1. Ist mehr oder weniger selbsterklärend. Ist es ein hochkritisches System bei dem ein Ausfall von wenigen Sekunden mehrere Tausender kostet oder ein "Internetrechner" für Oma? Auch eine Frage, ist der Rechner interessant wegen seiner Daten oder wegen seines "Wiederverwendungswert" (als Spamschleuder, Anon-Proxy, Relaystation...)? Je nachdem welches zutrifft kann ein Sicherheitsloch ein kritisches Problem sein oder irrelevant.

2. Wie verbreitet ist das betroffene System oder Programm? Eine Minimallücke im Internet Explorer ist für einen Angreifer weit wertvoller als eine offensichtliche im Konqueror. Einfach weil er damit mehr Ziele treffen kann. Hier ist wiederum wesentlich, ob der Rechner selbst interessant ist weil man seine Daten will (weil dann jede Sicherheitslücke kritisch wird) oder der Rechner einer unter vielen wäre (dann ist sie irrelevant, wenn es sich um ein kaum verbreitetes Produkt handelt, weil der Angreifer die "Masse" erreichen will). Ein plakatives Beispiel: In meinem Netzcode für ein Game sind wahrscheinlich tausende klaffender Sicherheitslücken. Trotzdem irrelevant, weil das Game sicher nicht auf einem "wertvollen" Rechner laufen wird und es (leider) kaum verbreitet ist.

3. Was passiert wenn's einer nutzt? Kann er Software zur Ausführung bringen? Oder bestenfalls einen Blick in irgendein Temporärverzeichnis werfen? Beides ist wohl lästig, aber kaum zu vergleichen, schon deswegen denk ich die Statistik sagt wenig aus.

4. Braucht's einen Profi oder kann man's scripten? Muß man dort jemanden hinsetzen, der einen "mundgeblasenen" Angriff führt oder kann man den Angriff in ein Programm verpacken das jeder Dodel ausführen kann? Großer und wesentlicher Unterschied.

Unter'm Strich bleibt, daß, wenn ich mal so durchschaue was uns an Viren und Trojanern ins Haus flattert, Windows und der IE Primärziele darstellen.

Egal was die Statistik sagt. Nur zu wissen welche Programme viele Sicherheitslöcher haben nutzt leider gar nix. Es kommt auf die "Qualität" des Sicherheitsloches an.

________________________________________________________________________
There's a typo in the Bible.
It should read "The geek shall inherit the earth".

Sehr richtig.

Ich kann das wort "Sicherheitslücke" langsam aber sicher nicht mehr hören.

Scheinbar wird heutzutage jeder Bug in diese Kategorie geordnet - da muss man ja blöd sein, wenn man einen öffentlichen Bugtracker hat.

Folglich sollten die Entwickler freier Software ab sofort keine Übersicht über die ausgemerzten Bugs in ihrer Software mehr geben, höchstens 2,3 mal im Jahr.
Und prompt ist man von der Liste verschwunden...
--
DiTech postete:
Sie haben offensichtlich 7mal mit dem Goldadler positive Erfahrung gemacht. Bei dieser Menge an Glück sollten Sie Lotto spielen.

GHF Watcher 1.2 - Firefox Erweiterung für Geizhals User

Ich kann das wort "Sicherheitslücke" langsam aber sicher nicht mehr hören.

Scheinbar wird heutzutage jeder Bug in diese Kategorie geordnet

da hast wohl leider recht

ähm, platz 12 bitdefender!?!
achja, und im pdf erscheint das produkt nicht einmal, hier ist doch etwas faul.

________________
Mein Notebook:
Maxdata Pro 8100X

...die meisten Sicherheitslücken existieren...Das meint wohl öffentlich bekannt waren/sind

Und wenn ich lese ...davon betrafen 812 Windows-Betriebssysteme. Unter Unix/Linux wurden insgesamt 2328 Anfälligkeiten registriert..., dann sind mir doch irgendwie die 2328 bei Unix/Linux lieber, denn auf eine bekannte Gefahr kann ich reagieren und die Entwickler der häufig recht flott produzierten Lösungen können es ebenso, während viele Hersteller proprietärer Software erst einmal ein paar Tage/Wochen/Monate mit Leugnen zubringen...wobei Microsoft seinen Umgang mit solchen Situationen ja schon gehörig verbessert haben soll.

27.06.2006, 20:02 Uhr - Editiert von Oliver_nur echt mit 2 Kastratern und Daisy!, alte Version: hier

Nachdem ja in dem referenzierten Link gesagt wird, daß die vielen Linux-Lücken nicht im Kernel sondern in den Programmen sind...

Versteh' ich jetzt nicht.

Also wenn zB
-ein Firefox bei einer Linux-Distri dabei ist
- bei Windows eben nicht "default"
- und der FF habe 20 Sicherheitslücken
...
dann sind das jetzt 20 Fehler mehr bei Linux???

propaganda
Lesson #1
While using SAINT components, pay attention to ANY and ALL signage.

aber nicht von mir-das sollte erwähnt werden

kloa Harry
:>

Lesson #1
While using SAINT components, pay attention to ANY and ALL signage.

Ist ja klass.

[satriremode on]

Du wirst am Jüngsten Tag deine Sünden so erklären:

Sünden von Schusterharry 1.000

Sünden der übrigen Menschen 1.000.000.000.000

Also hat der Schusterharry eigentlich ganz wenig Sünden.

[satiremode off]

Bei UNIX/LINUX sind bei US-Cert

mehrere LINUX Distributionen
mehrere BSD Versionen inkl Mac OS X
AIX
HP/UX
Solaris
und andere

+ Applikationen zusammengezählt

Natürlich kann man auch ohne Katzen leben. Aber wozu ?

Das mag sein das Mozilla an erster Stelle steht allerdings mit einer Version die kaum noch jemand verwendet

www.it-scene.com

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung