Sie sind weltweit äußerst beliebt, und deswegen auch im Fadenkreuz von Hackern: Die Top-10 der unsichersten Web-Anwendungen 2007, zusammengestellt von den US-Sicherheitsexperten von Bit9.

Für die Zusammenstellung der »2007’s Popular Applications with Critical Vulnerabilities« (PDF, Registrierung erforderlich) hat Bit9 nach eigenen Angaben beim SANS-Institute (SysAdmin, Networking and Security), in der National Vulnerability Database und beim U.S.-CERT (Computer Emergency Readiness Team) recherchiert. Damit eine Applikation in dieschwarze Liste aufgenommen wird, müssen diverse Voraussetzungen erfüllt sein:

• Die Anwendung ist lauffähig unter Windows,
• sehr bekannt bei Endanwendern und wird oft heruntergeladen,
• wird von Herstellern von Sicherheitssoftware und Admins nicht als Malware klassifiziert
• wies im letzten Jahr mindestens eine Sicherheitslücke auf
• und überlässt es dem Anwender, (Sicherheits-) Patches aufzuspielen. Dieser letzte Punkt ist auch der Grund dafür, weshalb Microsofts Internet Explorer nicht dabei ist.

Für die Analysten von Bit9 ist der Einsatz dieser Programme in Unternehmen geradezu »selbstmörderisch«, da sich Hacker auf diese Web-Anwendungen insbesondere aufgrund der hohen Verbreitung schon eingeschossen haben.

Mit der Aufzählung richtet sich Bit9 an Unternehmen: Sie sollten die Anwendung der Programme im Unternehmen beobachten, weil die Updates dafür meist nicht zentral verwaltet werden. Privatanwender sollten laut Bit9 selbst Ausschau nach aktuellen Versionen und Sicherheitspatches halten.