Secunia: Google Chrome war 2014 die Software mit den meisten Sicherheitslücken

Das dänische Sicherheitsunternehmen Secunia hat 2014 insgesamt 15.435 Anfälligkeiten in 3870 Anwendungen erfasst. Die Zahl der Schwachstellen erhöhte sich gegenüber 2013 um 18 Prozent, die Zahl der überwachten Programme um 22 Prozent. Die Software mit den meisten sicherheitsrelevanten Fehlern war der Statistik zufolge Googles Browser Chrome.

Chrome führt die Liste mit 504 Anfälligkeiten an, vor Oracle Solaris mit 483 Lücken, Gentoo Linux (350 Lücken) und dem Microsoft-Browser Internet Explorer mit 289 Schwachstellen. Apples Betriebssystem OS X landete mit 147 Löchern auf Rang 13. Microsofts Windows 8 findet sich mit 105 Schwachstellen auf Platz 20.

2014 haben Hersteller 83 Prozent aller Sicherheitslücken an dem Tag geschlossen, den dem sie offengelegt wurden (Bild: Secunia).

Damit schafften es nur zwei Microsoft-Produkte in die Top 20. Mit acht Einträgen ist IBM dort am häufigsten vertreten. Auch Mozillas Firefox und Oracles Java gehören mit 171 beziehungsweise 119 Schwachstellen zu den 20 Anwendungen mit den meisten Sicherheitslücken.

Für Apples Browser Safari erfasste Secunia im vergangenen Jahr 92 Schwachstellen. In Adobes Flash Player steckten der Statistik zufolge 99 Lecks, in Apple iTunes 84, in Adobe Reader 43, in Apple Quicktime 14 und in Microsoft Word 13 Fehler.

Windows 8 war im vergangenen Jahr die Version des Microsoft-Betriebssystems mit den meisten Anfälligkeiten. Gegenüber 2013 schrumpfte ihre Zahl jedoch von 156 auf 105. Windows 7 schnitt mit 33 Sicherheitslücken ebenfalls besser ab. Die Zahl der Fehler in Windows XP ging sogar von 99 auf 5 zurück, was Secunia allerdings dem Support-Ende im April vergangenen Jahres zuschreibt.

Secunia zufolge waren nicht Microsoft-Produkte für die meisten Anfälligkeiten auf PCs verantwortlich, und das, obwohl 69 Prozent der Top-50-Anwendungen von Microsoft kommen. Allerdings stieg Microsofts Anteil an den Schwachstellen von 14 Prozent im Jahr 2012 auf 23 Prozent im Jahr 2014.

Darüber hinaus weist das dänische Unternehmen darauf hin, dass sich die Zeit für die Auslieferung von Sicherheitsupdates weiter verkürzt hat. Von den insgesamt 15.435 Anfälligkeiten im vergangenen Jahr seien 83 Prozent vollständig an dem Tag beseitigt worden, an dem sie öffentlich gemacht wurden.

Die größte Gefahr ging Secunia zufolge im vergangenen Jahr jedoch von den als Heartbleed und Shellshock bezeichneten Lücken in den Open-Source-Anwendungen OpenSSL und Bash aus. Sie hätten ein bisher vernachlässigtes Problem offengelegt, und zwar die Nutzung von „Open-Source-Anwendungen und –Bibliotheken in IT-Umgebungen“. Oftmals würden solche Anwendungen gar nicht gepatcht oder die darin enthaltenen Schwachstellen nicht einmal gemeldet.

Secunias Statistik basiert in erster Linie auf Daten, die dessen kostenlose Sicherheitsanwendung Personal Software Inspector liefert. Das Programm prüft, ob für ein Betriebssystem und jegliche Software alle Updates installiert sind und hilft Nutzern dabei, benötigte Patches zu beziehen. Dafür erfasst es alle auf einem Rechner vorhandene Software. Es stuft zudem Anwendungen mit bekannten Sicherheitslücken, für die es aber keine Fixes gibt, als unsicher ein. Für Unternehmen bietet Secunia den Corporate Software Inspector sowie einen Benachrichtigungsservice für Schwachstellen an.

Die Auswertung auf Basis der durch die US-Regierung veröffentlichten Schwachstellen in National Vulnerability Database (NVD) durch GFI Software kommt hingegen zu einem anderen Ergebnis. Dort rangiert der Internet Explorer mit 220 schweren Sicherheitslücken vor Google Chrome, für den lediglich 86 registriert wurden.

[mit Material von Jack Schofield, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.