Im
Entwickler Magazin 1.15
ist ein Artikel über die Angriffe auf SSL/TLS und deren
Implementierungen im Jahr 2014 erschienen. Denn mit Heartbleed (OpenSSL),
Poodle (SSL/TLS), dem Triple-Handshake-Angriff (TLS), der
GOTO-FAIL-Schwachstelle (Mac OS X, iOS) und BERserk (NSS Library)
waren die 2014 ganz schön gebeutelt.
Sowohl Microsoft als auch Adobe hatten am 9. Dezember ihren Patchday. Und
während Microsoft diesmal keine bereits für Angriffe genutzten
Schwachstellen patchen musste, gab es von Adobe ein Update für den
Flash Player, mit dem unter anderem eine bereits ausgenutzte Schwachstelle
behoben wird.
Insgesamt wurden 14 bereits für Angriffe genutzte Schwachstellen
behoben,
dazu kommen die von Microsoft als kritisch eingestufte
Privilegieneskalation in Kerberos sowie
zwei reine 0-Day-Schwachstellen, für die es bisher keine Exploits
gibt.
Verglichen
mit 2013
sind wir dieses Jahr also bisher glimpflich davon gekommen, letztes Jahr
gab es 21 0-Day-Exploits. Wobei so ein Vergleich natürlich ziemlich
nutzlos ist, aber warum soll man nicht mal die 0-Day-Exploits pro Jahr
vergleichen, wenn man auch Regen, Schnee oder Sonnenschein vergleicht?