Sicherheitslücken: Unzureichende Bugfixes führen zu Zerodays

Googles Project Zero hat Angriffe mit Zeroday-Exploits analysiert. In einem Viertel der Fälle ähneln diese deutlich früheren, bereits geschlossenen Bugs.

Artikel veröffentlicht am ,
Unzureichende Fixes für Lücken führen dazu, dass später ähnliche Bugs in Angriffen ausgenutzt werden.
Unzureichende Fixes für Lücken führen dazu, dass später ähnliche Bugs in Angriffen ausgenutzt werden. (Bild: Piqsels/CC0 1.0)

Viele Angriffe mit Zeroday-Sicherheitslücken könnten möglicherweise verhindert werden, wenn man beim Beheben bekannter Bugs sorgfältiger vorgeht. Das legt zumindest eine Analyse nahe, die Maddie Stone von Googles Project Zero in einem Blogpost präsentiert.

Stellenmarkt
  1. Continual Service Improvement Consultant (m/w/d)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Softwareentwickler (m/w/d)
    rocon Rohrbach EDV-Consulting GmbH, Stuttgart, Köln, Mainz, Frankfurt am Main
Detailsuche

Project Zero analysiert seit 2019 systematisch Zerodays, also Sicherheitslücken, die in realen Angriffen genutzt wurden und die zum Zeitpunkt des Angriffs noch nicht öffentlich bekannt waren. Bei einem Großteil der ausgenutzten Lücken handelt es sich um Memory-Corruption-Lücken, also um Fehler bei der Speicherverwaltung.

Insgesamt hat das Team von Project Zero im vergangenen Jahr 26 Zeroday-Lücken in Exploits ausgemacht. Bei neun davon handelt es sich um Lücken, die entweder sehr ähnlich zu bereits vorher gefundenen Lücken waren oder solche, die nur unvollständig geschlossen wurden.

Vier gleichartige Internet-Explorer-Bugs in Folge

Für jeden dieser neun Fehler liefert Project Zero eine Analyse und verweist auf frühere, sehr ähnliche Fehler. Die meisten davon betrafen verschiedene Webbrowser, darunter Chrome, Safari, Firefox und den Internet Explorer, zwei Lücken betrafen das Windows-Betriebssystem. Im Fall einer Sicherheitslücke, die im Internet Explorer gefunden wurde (CVE-2020-0674), fanden die Google-Forscher gleich drei frühere Sicherheitslücken, die extrem ähnlich waren.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. PowerShell Praxisworkshop
    20.-23. Dezember 2021, online
Weitere IT-Trainings

Für Maddie Stone legen die Ergebnisse nahe, dass man viele Sicherheitslücken verhindern könnte, wenn man beim Patchen bekannter Lücken sorgfältiger vorginge. So sollte man wann immer möglich prüfen, ob Lücken derselben Art in anderen Funktionen vorkommen und ob es noch Möglichkeiten gibt, den Fix zu umgehen.

Was Project Zero nicht direkt sagt, aber ebenfalls naheliegt: Angreifer analysieren vermutlich ebenfalls bekannte Fehler und deren Patches, um solche ähnlich gelagerten Fehler oder unvollständige Korrekturen zu finden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Google
Neues Pixel 6 kostet 650 Euro

Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

Google: Neues Pixel 6 kostet 650 Euro
Artikel
  1. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

  2. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  3. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /