Sicherheitslücken: Unzureichende Bugfixes führen zu Zerodays

Googles Project Zero hat Angriffe mit Zeroday-Exploits analysiert. In einem Viertel der Fälle ähneln diese deutlich früheren, bereits geschlossenen Bugs.

Artikel veröffentlicht am ,
Unzureichende Fixes für Lücken führen dazu, dass später ähnliche Bugs in Angriffen ausgenutzt werden.
Unzureichende Fixes für Lücken führen dazu, dass später ähnliche Bugs in Angriffen ausgenutzt werden. (Bild: Piqsels/CC0 1.0)

Viele Angriffe mit Zeroday-Sicherheitslücken könnten möglicherweise verhindert werden, wenn man beim Beheben bekannter Bugs sorgfältiger vorgeht. Das legt zumindest eine Analyse nahe, die Maddie Stone von Googles Project Zero in einem Blogpost präsentiert.

Stellenmarkt
  1. IT-Anwendungsbetreuer (m/w/d) mit Schwerpunkt PDM-Systeme
    Alexander Binzel Schweisstechnik GmbH & Co.KG, Dresden, München, Gießen, Berlin
  2. SAP ERP Consultant (w/m/d)
    HUK-COBURG Versicherungsgruppe, Coburg
Detailsuche

Project Zero analysiert seit 2019 systematisch Zerodays, also Sicherheitslücken, die in realen Angriffen genutzt wurden und die zum Zeitpunkt des Angriffs noch nicht öffentlich bekannt waren. Bei einem Großteil der ausgenutzten Lücken handelt es sich um Memory-Corruption-Lücken, also um Fehler bei der Speicherverwaltung.

Insgesamt hat das Team von Project Zero im vergangenen Jahr 26 Zeroday-Lücken in Exploits ausgemacht. Bei neun davon handelt es sich um Lücken, die entweder sehr ähnlich zu bereits vorher gefundenen Lücken waren oder solche, die nur unvollständig geschlossen wurden.

Vier gleichartige Internet-Explorer-Bugs in Folge

Für jeden dieser neun Fehler liefert Project Zero eine Analyse und verweist auf frühere, sehr ähnliche Fehler. Die meisten davon betrafen verschiedene Webbrowser, darunter Chrome, Safari, Firefox und den Internet Explorer, zwei Lücken betrafen das Windows-Betriebssystem. Im Fall einer Sicherheitslücke, die im Internet Explorer gefunden wurde (CVE-2020-0674), fanden die Google-Forscher gleich drei frühere Sicherheitslücken, die extrem ähnlich waren.

Golem Karrierewelt
  1. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    28.11.-01.12.2022, virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.10.2022, Virtuell
Weitere IT-Trainings

Für Maddie Stone legen die Ergebnisse nahe, dass man viele Sicherheitslücken verhindern könnte, wenn man beim Patchen bekannter Lücken sorgfältiger vorginge. So sollte man wann immer möglich prüfen, ob Lücken derselben Art in anderen Funktionen vorkommen und ob es noch Möglichkeiten gibt, den Fix zu umgehen.

Was Project Zero nicht direkt sagt, aber ebenfalls naheliegt: Angreifer analysieren vermutlich ebenfalls bekannte Fehler und deren Patches, um solche ähnlich gelagerten Fehler oder unvollständige Korrekturen zu finden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Streaming
Amazon zeigt neuen Fire TV Cube

Das neue Spitzenmodell der Fire-TV-Produktfamilie wurde beschleunigt und hat deutlich mehr Anschlüsse als bisher. Zudem wird eine neue Fire-TV-Fernbedienung angeboten.

Streaming: Amazon zeigt neuen Fire TV Cube
Artikel
  1. Berufsschule für die IT-Branche: Leider nicht mal ausreichend
    Berufsschule für die IT-Branche
    Leider nicht mal "ausreichend"

    Lehrmaterial wie aus einem Schüleralbtraum, ein veralteter Rahmenlehrplan und nette Lehrer, denen aber die Praxis fehlt - mein Fazit aus drei Jahren als Berufsschullehrer.
    Ein Erfahrungsbericht von Rene Koch

  2. Tim Cook: Apple will Entwicklung in München weiter ausbauen
    Tim Cook
    Apple will Entwicklung in München weiter ausbauen

    Laut Konzernchef Cook ist der Standort München wegen der Mobilfunktechnik für Apple "sehr, sehr wichtig". Doch da ist noch mehr.

  3. Smarte Lautsprecher: Amazons neue Echo-Lautsprecher haben Sensoren
    Smarte Lautsprecher
    Amazons neue Echo-Lautsprecher haben Sensoren

    Amazon hat zwei neue Echo-Dot-Modelle vorgestellt. Außerdem erhält der Echo Studio Klangverbesserungen und Amazon macht den Echo Show 15 zum Fire TV.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller GoW Ragnarök Edition vorbestellbar • Saturn Technik-Booster • Viewsonic Curved 27" FHD 240 Hz günstig wie nie: 179,90€ • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • Alternate (KF DDR5-5600 16GB 96,90€) [Werbung]
    •  /