Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen

Software - Firmware

Zwei Millionen Schadprogramme 2016 enthüllt – Experten


WhatsApp Anfälligkeit zur israelischen Spyware installieren Benutzer aufgefordert, Upgrade

Hunderte von Millionen von PC-Komponenten haben immer noch hackbare Firmware
Identitätsdiebstahl: Sicherheitsforscher warnen vor grundlegender Lücke in LTE-Netzen

Eine Elite-Spionagegruppe nutzte 5 Zero-Days, um Nordkoreaner zu hacken

Diese Karte zeigt die globale Verbreitung von Zero-Day Hacking-Techniken
Web-Giganten scrambled to Head Off eine gefährliche DDoS-Technik
Bot jagt Software-Bugs für das Pentagon
Schlampige Software-Patches sind ein "beunruhigender Trend"
 
 
W I R E D
Schlampige Software-Patches sind ein "beunruhigender Trend"

Klebeband über Riss in der Straße
Der ganze Zweck Die Offenlegung von Schwachstellen besteht darin, Softwareentwickler über Fehler in ihrem Code zu informieren, damit sie Korrekturen oder Patches erstellen und die Sicherheit ihrer Produkte verbessern können. Aber nach 17 Jahren und mehr als 10.000 Enthüllungen von Schwachstellen ruft die Zero Day Initiative heute auf der Black Hat-Sicherheitskonferenz in Las Vegas einen "beunruhigenden Trend" an und kündigt einen Plan an, um Gegendruck auszuüben.

ZDI, das seit 2015 im Besitz der Sicherheitsfirma Trend Micro ist, ist ein Programm, das Schwachstellenergebnisse von Forschern kauft und die Offenlegung gegenüber Anbietern übernimmt. Im Gegenzug erhält Trend Micro, das ein Antiviren-Tool und andere Verteidigungsprodukte herstellt, eine Fülle von Informationen und Telemetriedaten, mit denen es die Forschung verfolgen und hoffentlich seine Kunden schützen kann. Die Gruppe schätzt, dass sie in diesem Jahr bisher rund 1.700 Offenlegungen bearbeitet hat. Aber ZDI sagt, dass aus der Vogelperspektive die Qualität der Anbieterpflaster in den letzten Jahren insgesamt nachgelassen hat.

Immer öfter kauft die Gruppe einen Bug von einem Forscher, er wird gepatcht, und bald darauf kauft ZDI einen weiteren Bericht darüber, wie man den Patch umgehen kann, manchmal mit mehreren Runden des Patchens und der Umgehung. ZDI sagt auch, dass es einen besorgniserregenden Trend bemerkt hat, dass Unternehmen weniger spezifische Informationen über Schwachstellen in ihren öffentlichen Sicherheitswarnungen offenlegen, was es für Benutzer auf der ganzen Welt schwieriger macht, zu beurteilen, wie ernst eine Schwachstelle ist, und die Patch-Priorisierung zu formulieren - ein echtes Problem für große Institutionen und kritische Infrastrukturen.

"In den letzten Jahren haben wir wirklich gemerkt, dass die Qualität der Sicherheitspatches merklich abgenommen hat", sagt ZDI-Mitglied Dustin Childs. "Es gibt keine Verantwortung für unvollständige oder fehlerhafte Patches."

ZDI-Forscher sagen, dass schlechte Flecken aus einer Vielzahl von Gründen auftreten. Herauszufinden, wie Softwarefehler behoben werden können, kann ein nuancierter und heikler Prozess sein, und manchmal fehlt es Unternehmen an Fachwissen oder sie haben nicht die Investition getätigt, um elegante Lösungen für diese wichtigen Probleme zu entwickeln. Unternehmen beeilen sich möglicherweise, Fehlerberichte zu schließen und ihre Liste zu löschen, und nehmen sich möglicherweise nicht die Zeit, die erforderlich ist, um eine "Ursache" - oder "Variante" -Analyse durchzuführen und zugrunde liegende Probleme zu bewerten, damit tiefere Probleme umfassend behoben werden können.

Unabhängig vom Grund sind schlechte Patches ein echtes Problem. Ende Juni berichtete Googles Project Zero-Bug-Hunting-Team, dass von den neuartigen Schwachstellen, die im Jahr 2022 in freier Wildbahn ausgenutzt wurden, mindestens die Hälfte Varianten zuvor gepatchter Fehler sind.

"Eine Kombination von Dingen im Laufe der Zeit hat uns zu der Annahme veranlasst, dass wir tatsächlich ein ernsteres Problem haben, als die meisten Menschen verstehen", sagt Brian Gorenc, der ZDI leitet.

Wie andere Organisationen, die stark an der Offenlegung beteiligt sind, einschließlich Project Zero, gibt ZDI den Entwicklern eine Frist, wie lange sie einen Patch veröffentlichen müssen, bevor Details über die betreffende Schwachstelle öffentlich veröffentlicht werden. Die Standardfrist von ZDI beträgt 120 Tage ab Offenlegung. Aber als Reaktion auf die Epidemie der schlechten Patches kündigt die Gruppe heute eine neue Reihe von Fristen für Fehler an, die zuvor gepatcht wurden.

Abhängig von der Schwere des Fehlers, wie einfach es ist, den Patch zu umgehen, und wie wahrscheinlich ZDI es für möglich hält, dass die Schwachstelle von Angreifern ausgenutzt wird, wird die Gruppe nun Fristen von 30 Tagen für kritische Fehler, 60 Tage für Fehler, bei denen der vorhandene Patch einen gewissen Schutz bietet, und 90 Tage für alle anderen Fälle festlegen. Der Schritt folgt einer Tradition, die öffentliche Offenlegung als wichtigen Hebelpunkt zu nutzen - einer der wenigen, die Sicherheitsbefürworter haben -, um notwendige Verbesserungen in der Art und Weise voranzutreiben, wie Entwickler mit Softwarefehlern umgehen, die sich möglicherweise auf Benutzer auf der ganzen Welt auswirken.

"Die Bewaffnung von fehlgeschlagenen Patches in verschiedenen Schwachstellen wird derzeit absolut in freier Wildbahn eingesetzt", sagt ZDIs Childs. "Es ist ein echtes Problem, das echte Konsequenzen für den Benutzer hat, und wir versuchen, Anreize für Anbieter zu schaffen, es beim ersten Mal richtig zu machen."

https://www.wired.com/story/software-patch-flaw-uptick-zdi/


Bemerkung:

Jeder liiefert Jedem. jede Qualität