CVE-Statistik 2015: Hunderte Sicherheitslücken für OS X, iOS & Co. gemeldet

[Martin Wendel]

Wie eine Auswertung der CVE-Liste zeigt, wurden im vergangenen Jahr für OS X mit 384 Stück die meisten Sicherheitslücken gemeldet. Knapp dahinter liegt iOS mit 375 CVE-Einträgen. Erst danach folgen Softwareprodukte von Adobe, Microsoft und Google. Heise Security betont jedoch, dass die Auswertung keine Sicherheits-Rangliste darstelle und die Statistik keine Rückschlüsse auf die Sicherheit einer Software zulasse.

Die CVE-Liste wird von der Not-For-Profit-Organisation The MITRE Corporation verwaltet, Ziel ist die Einführung einer einheitlichen Namenskonvention für Sicherheitslücken. Große Softwareentwickler wie Apple, Google, Microsoft oder Adobe unterstützen dieses Vorhaben und vergeben für Sicherheitslücken eindeutige ID-Nummern – sogenannte CVEs ("Common Vulnerabilities and Exposures"). Die Nummern sind euch womöglich bereits aufgefallen, wenn ihr euch auf der Webseite von Apple genauer über sicherheitsrelevante Änderungen von Updates informiert habt.

Heise Security weist darauf hin, dass sich die Liste jedoch nicht zur Beurteilung der Sicherheit von Software eigne. Dafür nennen die Kollegen mehrere Gründe: Während sämtliche OS-X-Versionen zusammengefasst werden, werden die Sicherheitslücken in den verschiedenen Windows-Versionen getrennt aufgelistet. Außerdem geht aus der Liste nicht hervor, wie viele der Lücken aktiv ausgenutzt werden, wie gravierend die Sicherheitslücken sind oder wie schnell sie beseitigt wurden.

Als Beispiel nennt Heise Security Android. Zwar wurden für das Google-Betriebssystem deutlich weniger Schwachstellen gemeldet, in der Praxis seien Android-Nutzer jedoch gefährdeter als iOS-User. Schuld dafür sei die schlechtere Versorgung mit Sicherheitsupdates und die generell schlimmere Malware-Situation.

Vielen Dank an @Butterfinger für den Hinweis!
Artikelbild von Pixabay, via Heise Security

zurück zum Magazin...

 

[Hendrik Ruoff]

Während sämtliche OS-X-Versionen zusammengefasst werden, werden die Sicherheitslücken in den verschiedenen Windows-Versionen getrennt aufgelistet.

Ach Gott da kann man doch gleich wieder aufhören zu lesen

 

[deckerweb]

Unter dem Blickwinkel Sicherheit wird meines Erachtens deutlich, dass die verschiedenen OS-Herausgeber quasi "in einem Boot" sitzen. Da in irgendeiner Weise "jammern" zu wollen in Bezug auf irgendeines der OS, finde ich absolut unangebracht. Ist keine Kritik an dem Artikel oben oder dergleichen - würde dasselbe auch in einem Windows-, Linux- oder Android-Forum posten!

Denn: ich habe als Endnutzer Geräte mit allen genannten OS: iMac und MBPr mit OSX, mobile Teile mit Android sowie ältere Rechner mit Linux und gar ein Windows-Teil fliegt hier noch im Haushalt rum... Ich will und brauche aber alle Geräte *sicher*, wer da gerade eine Lücke hat, ist mir relativ egal, solange diese schnell und professionell repariert wird! Genau das ist es, was am Ende des Tages interessiert und was alle *Endverbraucher* betrifft und sie interessieren dürfte bzw. auch "sollte".

In diesem Sinne kann ich mit solcherlei Statistiken extrem wenig anfangen und frage mich, was diese im Endeffekt bringen soll? Der Autor lässt im Beitrag ja mit der Art der Zählweise ja bereits die m.E. Irrelevanz der Datenquellen anklingen...

 

[Martin Wendel]

Da zwischen den Zeilen in irgendeiner Weise "jammern" oder gar "Schadenfreude" durchscheinen zu lassen in der Berichterstattung, finde ich absolut unangebracht.

Ich weiß nicht, wo du hier ein Jammern oder Schadenfreude erkennst. Der Artikel ist, eigentlich so wie sämtliche Nachrichten-Artikel bei uns, recht neutral verfasst.

 

[Arcane]

War doch 2014 genau so.

Haben sich die Kollegen von Heise denn mal gefragt, warum OSX und Linux zusammen gefasst wurde, während Windows getrennt aufegeführt wird? Ich glaube nicht.

Und was soll diese dämliche Android Anmerkung? Das Android Nutzer potentiell gefährdeter sind als iOS Nutzer hat rein gar nichts mit den Schwachstellen im System zu tun. Geschweige denn mit der CVE Statistik.

Und zu guter letzt ist Heise mal wieder selber zu dämlich zu recherchieren. Auf der CVE Homepage ist ersichtlich wann eine Sicherheitslücke gemeldet wurde, wann sie gepatched wurde, wie gravierend die Lücke ist, was Hacker damit anfangen können, wo sie sich befindet, etc...

 

[deckerweb]

Ich weiß nicht, wo du hier ein Jammern oder Schadenfreude erkennst. Der Artikel ist, eigentlich so wie sämtliche Nachrichten-Artikel bei uns, recht neutral verfasst.

Ah sorry, das war missverständlich vorn mir formuliert, habe das in meinem Beitrag geändert! Ich meinte explizit *keine* Kritik an dir oder dem Artikel, wie ich es bereits geschrieben hatte.

Allerdings sind zu der Quelle in den letzten Tagen schon andere Artikel in diversen Blogs etc. erschienen, wo die jeweilige "OS-Fraktion" dann entsprechend versucht "auszuteilen". Finde ich quatsch, ehrlich gesagt. Da müssen sich alle OS-Anbieter an die Nase fassen und permanent für gute Sicherheit sorgen. Sollten auch mal "Fanboys" von allen genannten OS drüber nachdenken.

Offtopic bzw. Technik hier:
Schade, dass die Formatierungen der Absätze verschwinden, wenn man einen Beitrag über das WordPress unter dem Artikel absetzt - wenn man den Forums-Editor verwendet, bleiben die Absätze.

Vielleicht könnt ihr da nochmal bei der Technik schauen, ich glaube das hängt irgendwie mit der Funktion "wpautop" seitens WordPress zusammen bzw. mit den für den Kommentarbereich in WordPress vergebenen Userrechten (kses Filter etc.).

 

[Ozelot]

Bei den Kapitalreserven wäre es angebracht, die Sicherheitsabteilung massiv aufzustocken. Das machen Unternehmen wie Google und MS besser.

Apple kann sich das locker leisten. Klar kann keine Software fehlerfrei sein, aber Apple hat da noch nie geglänzt.

 

[Dareonsky]

Apple kann sich das locker leisten. Klar kann keine Software fehlerfrei sein, aber Apple hat da noch nie geglänzt.

Echt? Komisch, genau deswegen bin ich von Windows zu OS X gegangen und komischer Weise war der Schritt vollkommen richtig.

 

[ottomane]

Der Artikel bei heise ist kompletter Mist und reines Clickbait. Sogar der Inhalt des Artikels selbst weist darauf hin, dass die Statistik unsinnig ist. Trotzdem wird eine spektakuläre Headline darübergepackt. Trauriges Werk von heise. Schade, dass er hier auch noch zitiert wird.

 

[forenwalter]

*Martin Wendel* Du hast viel Mut so einen Artikel in einem Apple Forum zu schreiben, denn es gibt noch extrem viele Benutzer von Apple Geräte welche der Meinung sind Apple Geräte sind nicht angreifbar und kennen keine Trojaner und Viren.

 

[ottomane]

Hier geht es weder um Trojaner noch Viren.

EDIT: Und welche kennst Du für OS X oder iOS?

 

[naich]

Was ich an dieser Liste eher erschreckend finde: Der Flash-Player, der nur ein einziges Format darstellen soll, hat im gleichen hunderter Bereich Sicherheitslücken, wie OS X als ein komplettes Betriebssystem - mit einer Unmenge an Schnittstellen, an denen angegriffen werden kann.

Aber natürlich wird beim Flash Player jedes noch so kleine Problem als CVE markiert - ich weiß nicht ob das bei allen anderen genau so penibel gemacht wird. Also wie genau man einzelne Einträge vergleichen kann weiß ich nicht so genau...

 

[ProUser]

"Heise Security betont jedoch, dass die Auswertung keine Sicherheits-Rangliste darstelle .."

Richtig, zudem sollte man sich auch die Mühe machen, nicht nur die Anzahl der Sicherheitslücken zu erfassen, sondern vor allem Ausnutzbarkeit und Schweregrad - ich habe lieber 300 Pickel, als 30 wuchernde Geschwüre..

 

[Arcane]

Im letzten Jahr war das noch deutlich besser dargestellt

 

[ProUser]

Im letzten Jahr war das noch deutlich besser dargestellt

Aber nicht glaubhaft, bei den zu geringen (wurde da wirklich alles gemeldet) Werten für Windows, 5 Mal weniger als in diesem Jahr, Schwankungen von meinetwegen 40% oder 50% von einem Jahr zum nächsten Jahr könnte man noch verstehen, aber doch nicht von 500% - die ganze Geschichte mit dieser CVE-Liste sollte man mit viel Vorsicht betrachten, wenn überhaupt..

 

[Arcane]

Aber nicht glaubhaft, bei den zu geringen (wurde da wirklich alles gemeldet) Werten für Windows, 5 Mal weniger als in diesem Jahr, Schwankungen von meinetwegen 40% oder 50% von einem Jahr zum nächsten Jahr könnte man noch verstehen, aber doch nicht von 500% - die ganze Geschichte mit dieser CVE-Liste sollte man mit viel Vorsicht betrachten, wenn überhaupt..

Warum nicht glaubhaft? Nur weil bei Windows eine geringere Zahl da steht und das ja unmöglich sein kann, weil Windows ja so unsicher sein muss?
Bei Sicherheitslücken kann so ziemlich jede Zahl raus kommen. Da kann man nicht von Schwankungen ausgehen, oder davon ausgehen, dass ein OS oder eine Applikation im Folgejahr so und so viel Prozent mehr oder weniger Lücken aufweist.

Das was in der CVE Liste steht, ist (soweit nicht falsch übermittelt) korrekt. Ob nun alle Lücken gemeldet wurden oder nicht, sei mal so dahingestellt. Aber so lange diese Zeitnah wieder geschlossen werden, ist es auch vollkommen egal, wie viele Lücken ein OS oder eine App hat.

Eventuell sollten sich einige User mal durchlesen, wie diese ganze eigentlich funktioniert:

http://www.cvedetails.com/how-does-it-work.php

Bzw ist hier mal eine Erklärung, warum OSX und Linux Versionen zusammen gefasst werden und Windows getrennt aufgelistet wird, was mit Safari ist und wo Android steht (aus 2014):

The operating systems are different and it is hard to group them in a way that everybody agrees with. For example, unlike Windows, the Linux Kernel can be upgraded independently of the rest of the operating system; therefore it is hard to link Linux Kernel vulnerabilities to a specific Linux distribution or Linux distribution version. This is why Linux vulnerabilities are grouped under Linux Kernel as a separate product and then there are the specific vulnerabilities for each Linux distribution. The reason why only Linux Kernel and Apple OS X are listed at the top is because the number of vulnerabilities that specifically apply to other Linux distributions (like Red Hat, Debian, etc.) is lower than the number of vulnerabilities that apply to the operating systems already listed.

For example, here are some statistics for several Linux distributions that did not make it to the top and which are not included under Linux Kernel entry:

Ubuntu

39 total vulnerabilities 7 high severity 27 medium severity 5 low severity

Red Hat Enterprise

27 total vulnerabilities 6 high severity 17 medium severity 4 low severity

openSUSE

20 total vulnerabilities 9 high severity 9 medium severity 4 low severity

Fedora

15 total vulnerabilities 3 high severity 9 medium severity 3 low severity

If we had to group the different Windows versions under one entry the statistics would look like this:

Windows

68 total vulnerabilities 47 high severity20 medium severity 1 low severity

As you can see a lot of Windows vulnerabilities apply to multiple Windows versions and because of that there is not a huge difference between the number for the entire Windows operating systems family and the numbers for different Windows versions.

Some readers have also asked where Android fits in. Here are the NVD stats:

Android

6 total vulnerabilities 4 high severity 1 medium severity 1 low severity

It is important to note that Android is based on Linux Kernel too and some of those vulnerabilities apply to Android as well. The malware on Android devices is usually spread via applications installed on the devices rather than via holes in the operating system.

Another question: where is Safari? Are Safari vulnerabilities included in OS X counts? The answer is no. Safari vulnerabilities are counted separately as is the case with the other web browsers. The reason why Safari is not listed is because it did not make it to the top of the list (it does have a large number of vulnerabilities, but only three of them are high severity):

Safari

70 total vulnerabilities 3 high severity 67 medium severity 0 low severity

To conclude, the aim of the article is not to blame anyone – Apple or Linux or Microsoft. The message I am trying to get across is that all software products have vulnerabilities. The frequency of security updates increases with the product’s popularity. At GFI we would like the people to use the information as a guide and to show which areas to pay more attention to when patching their systems. At the end of the day, however, an IT admin’s attention should be on ALL products in his network and not limited to those at the top of the vulnerability list; neither should the assumption be made that those further down the list are safer. Every software product can be exploited at some point. Patching is the answer and that is the key message.

Quelle: Gfi

 

[Martin Wendel]

@Arcane: Wenn du Bild- oder Textinhalte von anderen kopierst, wäre es angebracht auch die Quelle zu verlinken.