image

QuickTime en Firefox meest lekke Windows software

maandag 5 november 2007, 10:53 door Redactie, 33 reacties

Apple's QuickTime, Yahoo Messenger en Mozilla's Firefox zijn de meest lekke software waar bedrijven mee te maken kunnen krijgen, zo blijkt uit onderzoek. Het overzicht is gebaseerd op programma's die vaak zelf door personeel worden geïnstalleerd, en lastig te detecteren en verwijderen zijn. De software moest aan een aantal criteria voldoen, zoals het draaien op Windows, bekend zijn bij consumenten en regelmatig gedownload worden, door bedrijven niet als kwaadaardig beschouwd worden en tenminste een of meerdere ernstige beveiligingslekken sinds juni 2006 hebben. Als laatste punt moet de software handmatig door de eindgebruiker, in plaats van de systeembeheerder, geïnstalleerd worden, als er tenminste een patch beschikbaar is.

Volgens Bit9, het bedrijf dat de lijst samenstelde, ontbreekt Microsoft omdat de meeste bedrijven voldoende processen hebben om lekken in Microsoft software te identificeren, patchen en/of verhelpen. "Dat kan niet voor applicaties zoals Firefox, iTunes en andere programma's gezegd worden."

Hieronder de complete Top 10 van de populairste software met ernstige lekken:

  1. Yahoo Messenger 8.1.0.239 en eerder
  2. Apple QuickTime 7.2
  3. Mozilla Firefox 2.0.0.6
  4. Microsoft Windows Live (MSN) Messenger 7.0, 8.0
  5. EMC VMware Player (en andere produkten) 2.0, 1.0.4
  6. Apple iTunes 7.3.2
  7. Intuit Quickbooks 9 en eerder
  8. Sun Java Runtime 1.6.0_X
  9. Yahoo! Widgets 4.0.5 en eerder
  10. Ask.com Toolbar 4.0.2.53 en eerder
Reacties (33)
05-11-2007, 11:07 door Anoniem
Zeker gesponserd door MS? "Volgens Bit9, het bedrijf dat de
lijst samenstelde, ontbreekt Microsoft omdat de meeste
bedrijven voldoende processen hebben om lekken in Microsoft
software te identificeren, patchen en/of verhelpen." En hoe
zit het met de particulieren? Internet Explorer hoort hier
zeker in het lijstje te staan!
05-11-2007, 11:18 door Anoniem
Ontbreekt Microsoft?... en op de 4e plaats staat ... MSN!

(Bedrijven moeten hun gebruikers geen admin rechten geven,
hooguit hoofdgebruiker.)
05-11-2007, 11:24 door Anoniem
Wat een ONZIN dus dit onderzoek! Hoe haal je het in je hoofd
om M$ uit te sluiten ...!?!? Dat verweer (quod non) dat er
genoeg patchtooltjes enzo zijn voor M$-bagger, slaat nergens op.
05-11-2007, 11:26 door Anoniem
De enige reden dat Internet Explorer er niet bij staat is
omdat het standaard geinstalleerd staat. Komt Firefox
hierdoor weer in een kwaad daglicht, terwijl dingen daarin
wel sneller gepatched worden. Anders had deze er ook tussen
gestaan :)
05-11-2007, 11:51 door prikkebeen
Ik krijg het enge vermoeden dat hier niet alleen veel door
MS gesponsorde artikelen verschijnen, maar dat heet
security.nl ermee besmet is. Vroeger kon je hier nog wel
eens iets opsteken,
05-11-2007, 11:58 door Anoniem
Hou toch op zeg. Hoe kan IE nou niet in deze lijst
voorkomen? Moet op nr. 1 staan. Firefox heeft een
automatische updatefunctie. Ik zie IE niet zo vaak geupdate
worden.
05-11-2007, 12:13 door U4iA
Door Anoniem
Wat een ONZIN dus dit onderzoek! Hoe haal je het in je hoofd
om M$ uit te sluiten ...!?!? Dat verweer (quod non) dat er
genoeg patchtooltjes enzo zijn voor M$-bagger, slaat nergens
op.
Ik mag hopen dat een beetje bedrijf (het gaat namelijk niet
over consumenten) een patch managment systeem hebben voor
hun OS en standaard applicaties. Het gaat hierbij dus om
bijvoorbeeld Windows XP met Office 2003, etc. Deze worden
via WSUS gepushed. Echter oudere versies QuickTime en
Firefox beschikkend niet over een autoupdate functie (of
staat niet aan). MSN messenger is ook van Microsoft, maar
geen standaard bedrijfsapplicatie. Het gaat in dit stuk dan
ook om applicaties die gebruikers installeren, vaak zonder
medeweten van de systeembeheerder(s). Dus eerst goed lezen,
voordat je je anti-Microsoft gevoelens en conspiracy theories
laat botvieren. ;)
05-11-2007, 13:07 door Nomen Nescio
Nou is er inmiddels van diverse kanten al een aantal keren aangetoond
dat Firefox en zo meer lekken hebben en ook minder snel gepatcht
worden.

Maar nee hoor, Microsoft deugt niet! Regel 1: Microsoft deugt niet. Regel 2:
als regel 1 niet geldt, is automatisch regel 1 van toepassing.

En dan dat lullige schrijven van M$ met een $. Kinderachtig gewoon.

Wat de anti-Microsoftreageerfiguren hier niet begrijpen, is dat hun geblaat
zo langzamerhand een averechts effect heeft. Ze worden gewoon niet
meer geloofd. Zielig gewoon, een ander woord heb ik er niet voor.
05-11-2007, 13:26 door Anoniem
Inderdaad, het gaat niet alleen om de hoeveelheid lekken maar ook
(vooral) om de ernst ervan, de mate van misbruikbaarheid en de tijd die
het duurt voor de lekken gedicht zijn.
Dat laatste bepaalt hoelang je kwetsbaar bent: in 2006 zou je met IE 284
dagen kwetsbaar zijn, en met Firefox 9 dagen
(/blog.washingtonpost.com/securityfix/2007/01/internet_explorer_unsafe_for_2.html).
Daarnaast kan je met veilige instellingen voorkomen dat een lek meteen
gevaarlijk is. Bijvoorbeeld door scripts te blokkeren in je browser.

En dan die reactie van Itsmeman...
05-11-2007, 13:29 door Eerde
Het heeft weer eens een hoog: "Wij van WC-eend....."
gehalte. Onzinnig bericht.
05-11-2007, 13:38 door Anoniem
Door Itsmeman
Nou is er inmiddels van diverse kanten al een aantal keren
aangetoond
dat Firefox en zo meer lekken hebben en ook minder snel
gepatcht
worden.

Maar nee hoor, Microsoft deugt niet! Regel 1: Microsoft
deugt niet. Regel 2:
als regel 1 niet geldt, is automatisch regel 1 van toepassing.

En dan dat lullige schrijven van M$ met een $. Kinderachtig
gewoon.

Wat de anti-Microsoftreageerfiguren hier niet begrijpen, is
dat hun geblaat
zo langzamerhand een averechts effect heeft. Ze worden
gewoon niet
meer geloofd. Zielig gewoon, een ander woord heb ik er niet
voor.
Oke, en dan nu de feiten (bron Secunia):

Internet explorer 7:
16 Secunia Advisories in 2007
Unpatched 40%
6% Extremely Critical
44% Highly Critical

Mozila Firefox 2.0
12 Secunia Advisories in 2007
Unpatched 25%
0% Extremely Critical
42% Highly Critical

Als ik even snel een rekensommentje maak.... dan weet ik het wel
05-11-2007, 14:07 door Anoniem
Omdat IE niet in het lijstje voorkomt klopt het hele lijstje niet. Doe er vooral
je voordeel niet mee.
05-11-2007, 14:28 door Anoniem
Door Itsmeman
Wat de anti-Microsoftreageerfiguren hier niet begrijpen, is
dat hun geblaat
zo langzamerhand een averechts effect heeft. Ze worden
gewoon niet
meer geloofd. Zielig gewoon, een ander woord heb ik er niet
voor.
Nee, wat de pro-Microsoft meute niet begrijpt is dat er
zaken zoals gefundeerde kritiek bestaan. De pro-Microsoft
meute vindt ieder kritisch woord onmiddellijk een aanval op
hun geliefde Microsoft. Raar...

Daarnaast heb je als hoog opgeleide ICT-er de plicht ten
opzichte van je vakgebied om kritisch tegenover dat
vakgebied te staan. Dat gebeurt in iedere fatsoenlijke
wetenschappelijke discipline, en in iedere fatsoenlijke
engineering discipline. Maar gek genoeg zijn open mindedness
en kritisch kijken naar het eigen vakgebied twee
eigenschappen die vooral bij Microsoft Certified System
Engineers niet echt voorhanden lijken te zijn.
05-11-2007, 14:33 door Anoniem
"Ik krijg het enge vermoeden dat hier niet alleen veel door
MS gesponsorde artikelen verschijnen, maar dat heet
security.nl ermee besmet is. Vroeger kon je hier nog wel
eens iets opsteken."

Deze gedachte kwam bij mij ook op Ik ben me ervan bewust dat
alle software fouten bevat. Bij de meeste (OS) ontwikkelaars
zie ik voldoende zelfkritiek. Commerciële jongens heb ik
altijd al een groot probleem gevonden (het ligt altijd aan
die ander). Er zit er zelfs eentje bij..........
05-11-2007, 14:45 door Anoniem
Komt Opera weer in beeld.
Ook prima.
05-11-2007, 14:56 door U4iA
Ik vind het echt schokkend om te zien hoe weinig mensen GOED
kunnen lezen en text op de juiste manier kunnen
interpreteren. Zo te zien het gros van het volk dat hier
reageert met vergelijkingen die er niet toe doen in DIT
geval (bijvoorbeeld FF vs IE of zinloze opmerkingen over MCSE-ers).
05-11-2007, 15:55 door Anoniem
Door U4iA
Ik vind het echt schokkend om te zien hoe weinig mensen GOED
kunnen lezen

of zinloze opmerkingen over MCSE-ers).
Jij durft in je post iets te zeggen over goed lezen? En dat
terwijl je dus blijkbaar geen flikker snapt van mijn
opmerking over MCS engineers?

Dapper.
05-11-2007, 16:44 door Anoniem
Als we het er maar over eens zijn dat QuickTime sucks... ;)
05-11-2007, 19:02 door Anoniem
Door Anoniem
Komt Firefox hierdoor weer in een kwaad daglicht, terwijl dingen daarin
wel sneller gepatched worden.

En daar gaat het gehele artikel dus NIET om! Lezen is een vak, he.
Het gaat er om dat een IT Beheer club deze software NIET ondersteunt en
dus niet op tijd patches installeert.

Het wordt tijd dat bedrijven niet toestaan dat eindgebruikers dergelijke
software laat installeren. Elke software dat goed beheert wordt, wordt op
tijd geupdated.
05-11-2007, 19:11 door Jachra
Door Anoniem
Door Itsmeman
Nou is er inmiddels van diverse kanten al een aantal keren aangetoond dat Firefox en zo meer lekken hebben en ook minder snel gepatcht worden.

Maar nee hoor, Microsoft deugt niet! Regel 1: Microsoft deugt niet. Regel 2: als regel 1 niet geldt, is automatisch regel 1 van toepassing.

En dan dat lullige schrijven van M$ met een $. Kinderachtig gewoon.

Wat de anti-Microsoftreageerfiguren hier niet begrijpen, is dat hun geblaat
zo langzamerhand een averechts effect heeft. Ze worden gewoon niet
meer geloofd. Zielig gewoon, een ander woord heb ik er niet voor.
Oke, en dan nu de feiten (bron Secunia):

Internet explorer 7:
16 Secunia Advisories in 2007
Unpatched 40%
6% Extremely Critical
44% Highly Critical

Mozila Firefox 2.0
12 Secunia Advisories in 2007
Unpatched 25%
0% Extremely Critical
42% Highly Critical

Als ik even snel een rekensommentje maak.... dan weet ik het wel

Tsja en werk jij bij een grote internationale bedrijf? Dat is dus niet aan je
reactie te zien. Dit soort eigen geinstalleerde applicaties die niet gesupport
worden leveren een grotere risico op een bedrijfsnetwerk. Een bedrijf moet
maar hopen dat een eindgebruiker (medewerker) dergelijke software up-to-
date houdt. In meeste gevallen is dat niet zo.

Het sneller uit brengen van patches helpt dus niet mee. Ook open source
zal eens moeten gaan denken aan een algemene applicatie ala WSUS. Ik
weet dat er een aantal Linux distro's zijn die dat al hebben, maar het gaat
mij om applicaties die daar buiten vallen.
05-11-2007, 20:32 door extranion

ontbreekt Microsoft omdat de meeste bedrijven voldoende
processen hebben om lekken in Microsoft software te
identificeren, patchen en/of verhelpen. "Dat kan niet voor
applicaties zoals Firefox, iTunes en andere programma's
gezegd worden."

Bij mij zegt firefox als ik hem opstart dat ik MOET updaten,
wil ik dit niet dan doet hij dat de volgende keer als ik
firefox opstart.

Dit betekend dat firefox MOET worden geupdate, dus daar
hoeft het bedrijf niks aan te doen.

Wel grappig dat apple ook best vaak voor komt, maar dat daar
geen discussie over is.

En java was al bekend dat het niet echt goed ging met de update functie
05-11-2007, 21:31 door Anoniem
Wat erg jammer is van dit artikel, is dat de indruk wordt
gewekt dat bepaalde software meer lekken heeft dan andere,
terwijl dat helemaal niet de essentie weergeeft van de test.

Blijkbaar ging het in de test om het analyseren van het
updaten van de software. Kortom, het zegt iets over de
bedrijven die hun software-update procedures wel of niet op
orde hebben.
En vanzelfsprekend hebben bedrijven hun update-procedures
beter op orde voor hun zelf ingekochte software, dan voor de
software die hun medewerkers min of meer "illegaal" op hun
werkcomputers zetten.
Aangezien Microsoft software nog steeds het meest de
officiele software van bedrijven is, zal Microsoft software
vrijwel nooit "illegaal" op de computer staan (behalve
misschien MSN). Kortom, de update procedures zijn meestal
goed geregeld.
Er kon dus slechts 1 uitkomst uit deze test komen.

Wat mij verbaast, is dat de redactie dit artikel plaatst (en
zelf ook schrijft) ondanks dit overduidelijke gebrek aan
objectiviteit in deze test. Het zal niet meehelpen aan de
geloofwaardigheid van de site. En dat is jammer...
05-11-2007, 22:41 door Anoniem
Door U4iA
Ik vind het echt schokkend om te zien hoe weinig mensen GOED
kunnen lezen en text op de juiste manier kunnen
interpreteren. Zo te zien het gros van het volk dat hier
reageert met vergelijkingen die er niet toe doen in DIT
geval (bijvoorbeeld FF vs IE of zinloze opmerkingen over MCSE-ers).

Ha ha, ja helemaal waar. Er zijn er veel die maar 2 halve woorden hoeven
te lezen en al een mening hebben.

Leuk onderzoekje.
05-11-2007, 23:55 door [Account Verwijderd]
[Verwijderd]
06-11-2007, 09:16 door U4iA
Door Anoniem
Jij durft in je post iets te zeggen over goed lezen? En dat
terwijl je dus blijkbaar geen flikker snapt van mijn
opmerking over MCS engineers?

Dapper.
Mijn opmerking ging over het stuk, maar dat ter zijde...dan
vind ik het nog schokkender dat jij je niet goed kan
uitdrukken, want ik lees toch echt dat mensen met een MCSE
niet kritisch zouden zijn en open minded houding niet voor
handen is. Gezien je zeer genuanceerde opmerking en
aangebrandheid gok ik dat jij een van die hoger opgeleide
ICT-ers bent met een zeer open mind.
06-11-2007, 10:41 door Anoniem

Mijn opmerking ging over het stuk, maar dat ter zijde...dan
vind ik het nog schokkender dat jij je niet goed kan
uitdrukken, want ik lees toch echt dat mensen met een MCSE
niet kritisch zouden zijn en open minded houding niet voor
handen is.
Dat heb ik niet gezegd. Ik stel dat dat vooral bij
MCSE-ers die houding tegen kom. Dat jij je blijkbaar
aangesproken voelt...
06-11-2007, 10:52 door Nomen Nescio
Door Anoniem
Door Itsmeman
Wat de anti-Microsoftreageerfiguren hier niet begrijpen, is
dat hun geblaat
zo langzamerhand een averechts effect heeft. Ze worden
gewoon niet
meer geloofd. Zielig gewoon, een ander woord heb ik er niet
voor.
Nee, wat de pro-Microsoft meute niet begrijpt is dat er
zaken zoals gefundeerde kritiek bestaan. De pro-Microsoft
meute vindt ieder kritisch woord onmiddellijk een aanval op
hun geliefde Microsoft. Raar...

Daarnaast heb je als hoog opgeleide ICT-er de plicht ten
opzichte van je vakgebied om kritisch tegenover dat
vakgebied te staan. Dat gebeurt in iedere fatsoenlijke
wetenschappelijke discipline, en in iedere fatsoenlijke
engineering discipline. Maar gek genoeg zijn open mindedness
en kritisch kijken naar het eigen vakgebied twee
eigenschappen die vooral bij Microsoft Certified System
Engineers niet echt voorhanden lijken te zijn.
Dus jij vindt het schrijven van M$ met een $, het elke keer weer aanhalen
van "Wij van WC-eend", het doorlopend roepen dat Windowsgebruikers
dommer zijn dan Applegebruikers, allemaal terzake doende reacties?
Schei nou toch uit.

En voor de volledigheid: ik werk NIET bij een groot bedrijf, laat staan bij
Microsoft! Ik ben gewoon een kritische gebruiker die ALLE commentaren
kritisch bekijkt. Zo simpel is dat.
06-11-2007, 10:55 door Nomen Nescio
Door extranion

ontbreekt Microsoft omdat de meeste bedrijven voldoende
processen hebben om lekken in Microsoft software te
identificeren, patchen en/of verhelpen. "Dat kan niet voor
applicaties zoals Firefox, iTunes en andere programma's
gezegd worden."

Bij mij zegt firefox als ik hem opstart dat ik MOET updaten,
wil ik dit niet dan doet hij dat de volgende keer als ik
firefox opstart.

Dit betekend dat firefox MOET worden geupdate, dus daar
hoeft het bedrijf niks aan te doen.

Wel grappig dat apple ook best vaak voor komt, maar dat daar
geen discussie over is.

En java was al bekend dat het niet echt goed ging met de update functie
Kijk en dat is nou zo gek: Microsoft wordt door velen hier gekielhaald
omdat ze gebruikers verplichten te updaten, maar bij FF is dat dan weer
een positief punt? Over subjectief reageren gesproken.
06-11-2007, 11:56 door Anoniem
ok, hou maar op,
firefox dwingt je up te daten als er een update is dus dit
hele bericht kan de prullenbak in aangezien de jongens van
bit9 of hun huiswerk niet hebben gedaan of moedwillig valse
informatie verspreiden danwel bepaalde software in een
slecht of beter daglicht willen stellen dan in werkelijkheid
het geval is.
06-11-2007, 15:04 door Anoniem
Door Jachra
Door Anoniem
Door Itsmeman
Nou is er inmiddels van diverse kanten al een aantal keren aangetoond dat
Firefox en zo meer lekken hebben en ook minder snel gepatcht worden.

Maar nee hoor, Microsoft deugt niet! Regel 1: Microsoft deugt niet. Regel 2:
als regel 1 niet geldt, is automatisch regel 1 van toepassing.

En dan dat lullige schrijven van M$ met een $. Kinderachtig gewoon.

Wat de anti-Microsoftreageerfiguren hier niet begrijpen, is dat hun geblaat
zo langzamerhand een averechts effect heeft. Ze worden gewoon niet
meer geloofd. Zielig gewoon, een ander woord heb ik er niet voor.
Oke, en dan nu de feiten (bron Secunia):

Internet explorer 7:
16 Secunia Advisories in 2007
Unpatched 40%
6% Extremely Critical
44% Highly Critical

Mozila Firefox 2.0
12 Secunia Advisories in 2007
Unpatched 25%
0% Extremely Critical
42% Highly Critical

Als ik even snel een rekensommentje maak.... dan weet ik het wel

Tsja en werk jij bij een grote internationale bedrijf? Dat is dus niet aan je
reactie te zien. Dit soort eigen geinstalleerde applicaties die niet gesupport
worden leveren een grotere risico op een bedrijfsnetwerk. Een bedrijf moet
maar hopen dat een eindgebruiker (medewerker) dergelijke software up-to-
date houdt. In meeste gevallen is dat niet zo.

Het sneller uit brengen van patches helpt dus niet mee. Ook open source
zal eens moeten gaan denken aan een algemene applicatie ala WSUS. Ik
weet dat er een aantal Linux distro's zijn die dat al hebben, maar het gaat
mij om applicaties die daar buiten vallen.

Gaarne met argumenten komen ipv een hoop geblaat.
Ik wil niet zeggen dat het ene beter dan het andere is maar dat de inhoud van
het onderzoek niet klopt. Binnen 5 minuten haal je het namelijk zo onderuit.
06-11-2007, 19:59 door Anoniem
Door Anoniem
Dat heb ik niet gezegd. Ik stel dat dat vooral bij
MCSE-ers die houding tegen kom. Dat jij je blijkbaar
aangesproken voelt...

*zucht*
06-11-2007, 20:44 door Anoniem
Wat een onzin allemaal!
Bedrijven moeten gewoon zorgen dat gebruikers geen andere
apps dan alleen de (ondersteunde) bedrijf apps kunnen
installeren/gebruiken! Dan ben je dus van dit soort lekken af.
En dan die opmerking dat "de meeste bedrijven voldoende
processen hebben om lekken in Microsoft software te
identificeren, patchen en/of verhelpen"... Laat me niet
lachen! Je wilt niet weten bij hoeveel bedrijven ik al ben
geweest die NOOIT updaten, ook hun MS spul niet! Kwam laatst
nog een Windows 2000 SP1 machientje tegen... hing gewoon aan
het internet hoor!
Hoe zo, updaten? Het werkt toch? En als ik hem update doet
ie het straks niet meer... is weer extra werk... DAT is hoe
de meeste bedrijven er over denken!
08-11-2007, 21:47 door Anoniem
Waar staat Adobe Acrobat in dit lijstje?

Ik kreeg vorige maand een nieuwe laptop op de zaak (een
multinational) en er stond Acrobat 7.0 op gedeployed. Geen
enkele update gewoon 7.0. Nagekeken of er updates waren en
de laatste versie bleek 7.09 te zijn. Ik kon die echter niet
installeren daar de download van deze updates geblokkeerd
is. Dan heb ik maar de laptop thuis aan internet gehangen en
zo de lekke Acrobat van patches voorzien. (Ja ik heb een
local admin account)
Hetzelfde met java daar stond een 1.5.06 op, heb ik ook maar
ineens naar de laatste 1.5 versie gezet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.