Security-Ausblick 10.12.2015, 09:52 Uhr

Die gefährlichsten Cyber-Schwachstellen 2016

Die gefährlichsten Angriffe sind diejenigen, die lange Zeit unentdeckt bleiben. Sie laufen unterhalb des Radars der üblichen Virenscanner. Diese heimlichen Cyberattacken bedrohen uns 2016.
(Quelle: Shutterstock/Imilian)
Adobe Flash wurde in den letzten beiden Jahren am häufigsten angegriffen. Schwachstellen wie CVE-2015-0311 und CVE-2015-0313 waren in den Jahren 2015 und 2014 für fast ein Drittel aller entdeckten Zero-Day-Angriffe verantwortlich. Adobe behebt die erkannten Fehler schnell. Die Sicherheitsexperten von McAfee sagen deshalb voraus, dass dieser Angriffsvektor im nächsten Jahr an Beliebtheit verlieren wird. Auch wegen eines kürzlich veröffentlichten Flash-Player-Patches, der einige zusätzliche Sicherheitsfunktionen enthält.
Zero-Day-Angriffe nach Anwendung: Adobe Flash war in den letzten beiden Jahren am verwundbarsten.
Quelle: McAfee Labs
Allerdings, so McAfee, habe sich - prinzipiell - an der Code-Qualität und der Komplexität von Flash nichts geändert. Deshalb werde diese Schnittstelle auch weiterhin viele Schwächen aufweisen. Einige Software-Entwickler fordern daher, Flash durch HTML5 zu ersetzen. Google Chrome wird Flash demnächst einschränken. Aber das Internet ist voll mit älteren Flash-Inhalten. Der Wechsel weg von Flash hin zu HTML5 kann deshalb nur langsam erfolgen und wird einige Zeit brauchen.
Schwachstellen in Microsofts Internet Explorer (IE) sind zurückgegangen. Microsoft hat massiv in die Sicherheit investiert und neue Schutzfunktionen eingeführt: den erweiterten geschützten Modus, Virtual Table Guard, den Ablaufsteuerungsschutz, isolierten Heap- und Speicherschutz. Tricks zur Umgehung dieser Funktionen werden jedoch ständig veröffentlicht. Deshalb sei es nur eine Frage der Zeit, bis hochentwickelte Zero-Day-Angriffe stattfinden, die die aktuellsten Schutzfunktionen im Internet Explorer umgehen, meint McAfee.

Ist Microsoft Edge sicherer?

Für Microsofts neuen Browser "Edge" sagt McAfee einen "interessanten Wettbewerb" zwischen Hackern und Sicherheitsexperten voraus. Einerseits unterstützt Edge neue Web-Standards. Das macht ihn angreifbarer. Andererseits sei Edge mit verbesserten Vermeidungsfunktionen wie dem Memory Garbage Collector ausgestattet, was Angriffe wiederum erschwere.
Die Anzahl kritischer Zero-Day-Attacken auf Office lag in den letzten Jahren nicht besonders hoch. Wenn sie aber passieren, können sie für die IT-Umgebung des angegriffenen Unternehmen sehr gefährlich werden. McAfee stuft zum Beispiel die Office-Funktion OLE (Office Linking and Embedding) als sehr angriffsgefährdet ein. OLE habe eine sehr grosse Angriffsfläche. Zudem seien die aktuellen Erkennungs- und Schutzmethoden für Angriffe auf Office-Schwachstellen noch nicht effektiv genug. Durch Verschlüsselung von Office-Dokumenten lasse sich die Erkennung umgehen, also - unfreiwillig - ausschalten. Deshalb werden im nächsten Jahr Office-Attacken zunehmen.
Die Sicherheitsexperten rechen mit einem starken Anstieg von neuen Exploits im Nicht-Windows-Bereich. Gefährdet seien Varianten des Betriebssystems Unix, beliebte Smartphone-Plattformen, IoT-Systeme (zum Beispiel Tizen und Project Brillo) sowie verbreitete Komponenten und Bibliotheken (zum Beispiel Glibc oder OpenSSL). Insbesondere Open-Source-Framework-Tools seien nach Einschätzung von McAfee (noch) nicht sicher genug.



Das könnte Sie auch interessieren