Leverandørene med flest kjente sårbarheter i sine produkter i 2008.

Hver andre sårbarhet lever evig

En IBM-rapport avslører skremmende tilstander.

IBMs X-Force-avdeling kom i går med en ny rapport om trender og risikoer knyttet til IT-sikkerhet. Rapporten avslører flere overraskende trender.

Av rapporten går det blant annet fram at svært mange sikkerhetshull i programvare forblir åpne, selv flere år etter at sikkerhetshullet ble oppdaget.

Bare 47 prosent av alle sårbarhetene som ble oppdaget i 2008, var blitt blitt tatt hånd av leverandøren gjennom sikkerhetsoppdateringer innen utgangen av året. Verre er det likevel at 46 prosent av sikkerhetshullene fra 2006 og 44 prosent av sikkerhetshullene fra 2007 fortsatt var på plass ved utgangen av 2008.

Ifølge X-Force kan det være en sammenheng mellom antallet sårbarheter som oppdages i en leverandørs produkter og hvor flinke leverandøren er til å fjerne sårbarhetene. Blant de ti leverandørene med som hadde flest sårbarheter i sine produkter i 2008, var det bare 19 prosent av sårbarhetene som ikke var blitt fjernet ved utgangen av året. Blant de øvrige leverandørene var derimot andelen av sikkerhetshull som ikke var blitt fjernet gjennom sikkerhetsoppdateringer, hele 61 prosent.

Andel kjente sårbarheter som har blitt patchet av leverandør.
Andel kjente sårbarheter som har blitt patchet av leverandør.

Av de 7406 nye sårbarhetene X-Force registrerte i 2008, er 234 blitt funnet i Microsofts programvare. Dette gjør Microsoft til den enkeltstående leverandøren med flest rapporterte sårbarheter i sine produkter. På andre plass følger Apple med 225 rapporterte sårbarheter.

Leverandørene med flest kjente sårbarheter i sine produkter i 2008.
Leverandørene med flest kjente sårbarheter i sine produkter i 2008.

Både Microsoft og Apple leverer en lang rekke produkter, så at disse selskapene ligger i toppen av listen, forteller ikke nødvendigvis så mye. Verre er det med leverandører som Joomla!, Mozilla og Drupal. Riktignok er det blitt rapportert om færre sårbarheter til disse leverandørenes produkter enn til blant annet Microsoft og Apple, men samtidig tilbyr disse leverandørene bare en håndfull produkter hver.

Samtidig er det et faktum at så godt som all programvare har skjulte svakheter knyttet til sikkerheten. Det er ingen ulemper knyttet til at sårbarheter oppdages, så lenge leverandøren får mulighet til å fjerne dem før ondsinnede utnytter sårbarhetene. Men kjente sårbarheter som ikke har blitt fjernet gjennom sikkerhetsoppdateringer, utgjør selvfølgelig en sikkerhetsrisiko.

2008 var det mest hektiske året for X-Force noen sinne. Det ble registrert 13,5 prosent flere sårbarheter enn året før. I tillegg til dette, har alvorlighetsgraden til sårbarhetene økt. 15,3 prosent flere sårbarheter har fått høy eller kritisk alvorlighetsgrad, mens antallet sårbarheter med medium alvorlighetsgrad har vokst med 67,5 prosent.

92 prosent av alle sårbarhetene som ble oppdaget i 2008 kan utnyttes uten at det kreves lokal tilgang til det sårbare systemet.

Når det gjelder sårbare operativsystemer, har server- og klientsystemene fra Apple og den grunnleggende Linux-kjernen dominert toppen av listen over antallet avslørte sårbarheter de tre siste årene. Men det går ikke helt klart fram av rapporten hvordan dette er beregnet.

Operativsystemer med flest sårbarheter i 2008
Operativsystemer med flest sårbarheter i 2008

Antallet sårbarhet i webapplikasjoner er i voldsom vekst og utgjør nå 55 prosent av alle de registrerte sårbarhetene. Sårbarheter i vanlig PC-programvare utgjør derimot bare 20 prosent. Blant sårbarhetene som ble oppdaget i forbindelse med webapplikasjoner i 2008, var 74 prosent fortsatt ikke rettet ved utgangen av året.

Den vanligste typen sårbarhet knyttet til webapplikasjoner var i 2008 SQL-innsprøytning. Dette økte med 134 prosent i fjor og erstattet cross-site scripting som den dominerende typen sårbarhet i webapplikasjoner.

Ifølge X-Force økte antallet angrep basert SQL-injeksjoner i fjor fra noen få tusen per dag ved begynnelsen av året til flere hundre tusen daglige angrep ved utgangen året.

I tillegg til disse sårbarhetene, ber mange nettsteder om bruk av ActiveX-kontroller med kjente sårbarheter. Dette fører til at mange besøkende som benytter en ikke-oppdatert utgave av Internet Explorer i en uheldig posisjon.

Selv om antallet sårbarheter i nettlesere gikk ned i fjor, er de fortsatt det vanligste målet for angrep. I tillegg har andre typer innhold som distribueres via websider i stadig større grad blitt utnyttet i forbindelse med angrep. Dette gjelder både dokumentformater som PDF, multimedieinnhold, for eksempel Flash-applikasjoner, og Java-applikasjoner.

I 2008 ble skadevare-distribusjonen dominert av trojanere. Hele 46 prosent av all skadevare var altså programmer med skjult og skadelig funksjonalitet. Trojanerne var i stor grad rettet mot brukere av nettbaserte spill og nettbanker.

Hele rapporten fra IBM X-Force er tilgjengelig på denne siden.

Til toppen