Skip to content

2010 - Ein Rückblick auf die 0-Day-Schwachstellen

2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. So gab es sehr viele 0-Day-Schwachstellen. So viele, dass sie einen eigenen Text unabhängig vom restlichen Jahresrückblick verdient haben. Diesen hier.

Mit dem Internet Explorer fing es an

Die erste 0-Day-Schwachstelle in 2010 meldete Microsoft Mitte Januar im Internet Explorer, und zwar eine ganz besondere: Sie wurde im Dezember 2009 im Rahmen der "Operation Aurora" genannten gezielten Angriffe auf Google und andere Unternehmen eingesetzt. Sowohl über Angriffe als auch Schwachstelle wurden nach und nach weitere Informationen bekannt - eine regelrechte Schnitzeljagd ohne wirkliches Ziel, denn ob die Angriffe nun wirklich von China ausgingen oder nicht, wird man wohl nie mit Sicherheit erfahren.

Die Schwachstelle im IE wurde schon wenige Tage später außer der Reihe der regulären Patchdays behoben. Das war so schnell möglich, weil Microsoft die Schwachstelle schon Anfang September 2009 vertraulich gemeldet wurde und der Patch bereits für den Februar-Patchday vorgesehen war. Was mal wieder zur Diskussion Anlass gab, ob nun Full Disclosure oder Responsible Disclosure besser ist.

Noch einmal der Internet Explorer...

Anfang März gab es dann die nächste 0-Day-Schwachstelle im IE, die Microsoft ironischerweise ausgerechnet am Patchday eingestehen musste. Auch diese Schwachstelle wurde bereits bei ihrer Entdeckung für gezielte Angriffe ausgenutzt. Entgegen meinen Erwartungen wurde auch diese Schwachstelle von Microsoft recht zügig behoben. Wieder im Rahmen eines außerplanmäßigen Patchdays für den Internet Explorer.

... und noch zwei mal ...

Eine weitere 0-Day-Schwachstelle im Internet Explorer meldete Microsoft am 3. November. Die Schwachstelle wurde im Rahmen von Drive-by-Infektionen ausgenutzt, ein Exploit wurde veröffentlicht. Schon am 14. Dezember konnte Microsoft einen Patch veröffentlichen. Das schnelle Patchen von IE-Schwachstellen scheint bei Microsoft inzwischen zum Pflichtprogramm zu gehören. Für eine am 22. Dezember veröffentlichte Schwachstelle wurde zwar bereits ein Exploit veröffentlicht, ein Patch ist aber noch nicht in Sicht. Angesichts des Zeitpunkts der Veröffentlichung ist das verständlich. Websense berichtet darüber hinaus über eine weitere 0-Day-Schwachstelle, die das Microsoft WMI Administrative Tools ActiveX Control betrifft.

... dann eine in Firefox (oder nicht?) ...

Im Februar gab es eine 0-Day-Schwachstelle in Firefox, deren Existenz anfangs umstritten war.

... und eine von Microsoft selbst verschuldete...

Im Juli patchte Microsoft eine selbstverschuldete 0-Day-Schwachstelle: Tavis Ormandy veröffentlichte die Schwachstelle, weil Microsoft sich nicht in der Lage sah, einen Patch innerhalb von 60 Tagen zuzusagen. Nachdem die Schwachstelle dann veröffentlicht wurde, schaffte Microsoft es sogar in 38 Tagen. Es geht also, wenn man will. Oder es genug Druck von außen gibt.

... und auch Adobe bleibt nicht ungeschoren

Weitere 0-Day-Schwachstellen gab es z.B. im Juni in Flash Player, Adobe Reader und Acrobat, Windows XP und Server 2003, und im September in Adobe Reader und Acrobat. Bei dieser Flut an Schwachstellen im Adobe Reader war eine einzige 0-Day-Schwachstelle darin Anfang August so langweilig, dass sie kaum zur Kenntnis genommen werden. Auf eine mehr oder weniger kam es ja auch nicht mehr an.

4 schnell hintereinander in einer Jahresendpanik

Ende Oktober gerieten die Cyberkriminellen dann wohl in Jahresendpanik und brachten innerhalb weniger Tage Exploits für 4 0-Day-Schwachstellen in Umlauf, teils im Rahmen gezielter Angriffe, teils im Rahmen von Drive-by-Infektionen. Die Opfer: Der Flash Player samt Adobe Reader, der Adobe Reader allein, der Internet Explorer und Firefox. Das Surfen im Web ist zeitweise ziemlich gefährlich, wenn man aktuelle Programme einsetzen möchte.

Und 4 auf einen Streich in Stuxnet

Und dann war da noch Stuxnet, in dem gleich 4 0-Day-Schwachstellen auf einmal verwendet wurden, von denen zuerst die Shortcut-Lücke veröffentlicht wurde.

2010 war also ein an 0-Day-Schwachstellen reiches Jahr, und dass da oben war nur eine Auswahl, bei der ich mich auf die prominenten Programme und kritischen Schwachstellen beschränkt habe. Und es ist wohl kaum zu erwarten, dass 2011 ruhiger wird.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : 2010 - Ein Rückblick auf ein ereignisreiches Jahr

Vorschau anzeigen
2010 war ein gerade aus Sicht der IT-Sicherheit ereignisreiches Jahr. 2011 kann es gerne ruhiger zugehen, aber vermutlich gilt wie immer die Regel von Bernd dem Brot: "Alles ist wie immer, nur schlimmer! Einige Beispiele: So hat z.B. das Bund

Dipl.-Inform. Carsten Eilers am : Adobes 0-Day-Schwachstellen des Monats

Vorschau anzeigen
0-Day-Schwachstellen in Adobe Reader, Acrobat und dem Flash Player - die muss ich einfach kommentieren, so eine Vorlage lasse ich mir natürlich nicht entgehen. Werfen wir also einen Blick auf die (mageren) Fakten. Eine 0-Day-Schwachstelle