Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

Julian TotzekGoogle-Forscher haben schwerwiegende Sicherheitslücken in den Sicherheitsprogrammen von Symantec und Norton aufgedeckt. Millionen von Privatkunden und Unternehmen sind hiervon betroffen, denn Angreifer könnten den kompletten Rechner übernehmen. Bisher wurden die Schwachstellen noch nicht behoben. Ein Kommentar von Julian Totzek-Hallhuber, Solution Architect bei Veracode.

Wie es immer wieder zu solchen Lücken – gerade in Sicherheitssoftware – kommen kann und was Anbieter in der Entwicklung berücksichtigen sollten, erklärt im Folgenden Julian Totzek-Hallhuber, Solution Architect beim Anwendungssicherheits-Spezialisten Veracode:
„Die schwerwiegenden Schwachstellen, die in den Sicherheitsprogrammen von Symantec und Norton entdeckt wurden, sind für uns keine Überraschung – denn bereits unser Report aus dem Jahre 2011 zeigt, dass gerade Sicherheitssoftware sehr schlecht beim Thema Anwendungssicherheit abschneidet. Mit 72 Prozent steht die Sicherheitssoftware auf Platz 2 der anfälligsten Softwarekategorien.

Varacode

Generell kann man davon ausgehen, dass eingekaufter Code immer anfälliger ist für Schwachstellen als Code, den Unternehmen selbst entwickeln, da jegliche Haftung immer beim Softwarebetreiber liegt und nicht beim Hersteller. Das Eigeninteresse daran, sichere Anwendungen zu entwickeln, ist also für Drittanbieter nicht so hoch wie für Unternehmen selbst. Auch Veracodes Statusbericht zur Softwaresicherheit Band 6 hat dies belegt:

Varacode

Anbieter von Sicherheitssoftware suchen sich ihre Entwickler für gewöhnlich aus einem Pool aus, bei dem nicht davon ausgegangen werden kann, dass die Entwickler bereits in irgendeiner Form Sicherheitstrainings absolviert haben. Hinzu kommt, dass Sicherheitssoftware am häufigsten in C/C++ geschrieben wird. Diese Programmiersprache weist mehr kritische Schwachstellen, wie Puffer- und Integerüberläufe auf, als moderne, typsichere Sprachen wie Java, C# oder Javascript. Zudem sind Schwachstellen in Sicherheitssoftware noch kritischer, weil diese meist auf einer höheren Berechtigungsstufe laufen als durchschnittliche Software. Das heißt, sie haben die Kontrolle über die Daten zu und von anderen Anwendungen. Wenn hier also eine Sicherheitslücke ausgenutzt wird, bedeutet das, dass oft das komplette System gefährdet ist. Das Ausführen von Sicherheitssoftware erfordert oft komplexes Parsing und Musterkennungen, die typischerweise fehleranfällig sind.

All diese Punkte zusammen machen Sicherheitssoftware zu einem attraktiven Ziel für Angreifer. Es gibt reichlich vorhandene Schwachstellen und da Sicherheitssoftware mit weitreichenden Rechten ausgeführt wird, bin ich überrascht, dass solch gravierende Lücken, wie sie nun bei Symantec und Norton entdeckt wurden, nicht häufiger gefunden werden. Vielleicht wären hierfür noch mehr Prämienprogramme für das Aufdecken von Sicherheitslücken nötig.“ 

www.veracode.de

GRID LIST
Tb W190 H80 Crop Int 9c242ef5a5fad7dbf328a783a1d35090

IT-Manager kapitulieren vor Passwortsicherheit

Mit 73 Prozent knapp drei Viertel der europäischen IT-Führungskräfte haben keine…
Tb W190 H80 Crop Int 24d766b81b29f67867ac92ced7156db1

Banken müssen Mehrwertdienste bieten und neue Geschäftsmodelle entwickeln

CGI (TSX: GIB.A) (NYSE: GIB) stellt die Ergebnisse der globalen Bankkundenumfrage von…
Tb W190 H80 Crop Int 8de1ae23fa36a406ebdedce198e81408

Mit diesen Tipps schützen Nutzer ihr Handy im Winter

Es ist Winter. Smartphone-Nutzer haben ihr Gerät jedoch auch bei tiefen Temperaturen fast…
Tb W190 H80 Crop Int Cd0be40bdc3132e8a43ff79e9c10dc12

Jeder Fünfte will sich gegen Cyberkriminalität versichern

Phishing-Attacken, Schadsoftware oder Kreditkartenbetrug – Cyberkriminalität kann jeden…
Tb W190 H80 Crop Int D325500e0595642e9afa32fcc4da2986

Mitarbeiter kennen IT-Sicherheitsrichtlinien nicht

Lediglich ein Zehntel (12 Prozent) der Mitarbeiter ist sich über Regeln und Richtlinien…
Tb W190 H80 Crop Int 9b9f482a68064d34cc986d21a0ecf70a

Was bevorzugt online gekauft wird – und was nicht

DVDs, CDs und Bücher: Nichts wird lieber online geshoppt als Unterhaltungsmedien. Das hat…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security