image

Microsoft: Vista minder lek dan XP, Linux en Mac OS X

donderdag 24 januari 2008, 11:08 door Redactie, 32 reacties

Een door Microsoft uitgevoerd onderzoek laat zien dat Windows Vista in haar eerste jaar veel minder beveiligingslekken had dan Windows XP, Mac OS, Ubuntu en Red Hat, maar de softwaregigant wil niet met de cijfers aantonen dat deze besturingssystemen onveiliger zouden zijn. In het eerste jaar dichtte Microsoft 36 lekken in Windows Vista, terwijl dit er bij XP 65 waren. Vista kreeg vorig jaar met 30 lekken te maken die nog op een patch wachten, terwijl het bij XP om 54 ongepatchte kwetsbaarheden ging.

Red Hat Enterprise Linux 4 Workstation
Red Hat had in het eerste jaar toen het besturingssysteem verscheen veel meer werk te verrichten, want het kreeg met 575 lekken te maken. Kijkend naar de kritieke en ernstige lekken werden er 88 patches op 57 verschillende dagen uitgebracht. In totaal dichtte de ontwikkelaar 493 kwetsbaarheden.

Ubuntu en Mac OS X
Ook de populaire Linux distributie Ubuntu laat weinig indrukwekkende cijfers zien. In totaal werden er 461 lekken ontdekt, waarvan er 406 gepatcht werden. De updates verschenen in het eerste jaar verspreid over 119 dagen.

Het laatste OS dat Jeff Jones op de pijnbank legt is Mac OS X 10.4. Apple ontdekte in het eerste jaar 157 lekken, waarvan er voor 116 een patch verscheen. In totaal verschenen er op 17 verschillende dagen updates.

Zinnige cijfers?
Jones stelt zelf al de vraag: "Hoe zinnig zijn deze cijfers?" Volgens de beveiligingstopman is security niet alleen van een cijfer af te leiden, maar geeft het wel een goed beeld. Bedrijven moeten zich volgens hem afvragen of het eenvoudiger is om risico's op een systeem te verhelpen dat met 10 of met 100 lekken in een jaar te maken heeft. Wat ook meespeelt is de impact die het patchen op het security team en risico management heeft. "Wat is erger, het uitrollen van 100 of 10 security updates per jaar?"

Geen excuses
Jones kreeg in het verleden vaak kritiek op zijn cijfers, en heeft daarom nu al een aantal weerwoorden opgenomen voor vragen die critici mogelijk stellen. Zo laat hij weten dat de cijfers zijn te verifiëren, en dat het daarom niet uitmaakt dat hij voor Microsoft werkt.

Een ander veel gehoord punt is dat bijvoorbeeld Linux veel meer applicaties van derde partijen bevat. Windows beschikt ook over verschillende onderdelen, aldus Jones, die het geen appels met peren vindt vergelijken, omdat de meeste gebruikers toch altijd de standaard installatie kiezen. Wat betreft "stiekeme patches" zegt hij dat deze snel te achterhalen zijn en zou Microsoft hier open in zijn. Het laatste punt is het ontbreken van het aantal dagen dat een OS kwetsbaar is. "Ik denk niet dat het enige waarde heeft om te vergelijken hoe Microsoft het in 2007 tegenover Red Hat in 2005 of Ubuntu in 2006 deed."

Reacties (32)
24-01-2008, 12:17 door Eerde
De maandelijkse FUD.

Maar ja dat er weinig lekken gevonden en gepatcht worden heb
je natuurlijk bij closed source. Bij open source zijn er
veel meer oogjes om problemen op te sporen en die kunnen
vervolgens gepatcht worden.

Ergo open source is per definitie veiliger ;)
24-01-2008, 12:18 door SirDice
Ik vind het altijd opvallend dat men nooit FreeBSD mee vergelijkt...

Oh ja.. Misschien komt het omdat er maar 10 bugs in het base OS over heel 2007 waren.. Dan kun je jezelf niet meer als beste uitroepen natuurlijk..

"Wat is erger, het uitrollen van 100 of 10 security updates per jaar?"
Hmm.. Wat is erger, 100 minor patches of 10 criticals?
24-01-2008, 12:30 door Anoniem
Tellen is pas eerlijk als ze een volledige changelog van
elke getouchte source file geven. en zelfs dan kun je
bedenken, hoe minder updates, hoe meer fouten er blijven zitten.

lies, damn lies, and statistics.

Ooh wacht het bericht komt van microsoft, die hebben sinds
1979 al geen waar woord meer gesproken. Waarom wordt dit nog
door media opgepakt?
24-01-2008, 12:32 door Eerde
Zo laat hij weten dat de cijfers zijn te verifiëren,
en dat het daarom niet uitmaakt dat hij voor Microsoft
werkt.
Dat zegt nix want het aantal lekken en dus benodigte patches
zijn niet te controleren omdat de broncode niet beschikbaar
is. Hetgeen betekend dat de cijfers dus niet te controleren
zijn, we moeten immers M$ op hun woord geloven.

@ SirDice
FreeBSD ? Zijn er nog mensen die dat gebruiken dan :p
24-01-2008, 12:45 door Martijn Brinkers
"There are three kinds of lies: lies, damned lies, and
statistics". Volgens mij is het beter om te kijken naar de
praktijk situatie en niet naar zelf verzonnen statistics.
Volgens deze statistics (ook daar kan je natuurlijk
vraagtekens bij zetten)
http://www.security.nl/article/17801/1/95%25_Windows_gebruikers_draait_lekke_applicaties.html
zijn de meeste windows installaties behoorlijk lek. Ik denk
dat de gemiddelde Ubuntu machine minder security fouten
bevat dan een windows machine, ook bij minder ervaren
gebruikers, aangezien de meeste software die geinstalleerd
is door Ubuntu ondersteund wordt en je dus niet zelf hoeft
te 'zoeken' naar security patches.

PS. ik weet uit eigen ervaring dat Microsoft wel degelijk security gerelateerde fixes service packs verwerkt zonder daar een aparte bulletin voor te maken.
24-01-2008, 14:18 door Anoniem
Het maakt me niet uit wat voor onderzoeken ze allemaal
uitvoeren. Wij werken al vele jaren met Mac, Linux en MS
Windows.

Als ik dan naar eigen ervaring kijk, en naar die van
collega's, dan kan ik alleen maar concluderen dat MS Windows
er al jaren uitspringt qua problemen en bagger.

Heel simpel; praktijkervaring.
24-01-2008, 14:22 door Anoniem
Door SirDice
Ik vind het altijd opvallend dat men nooit FreeBSD mee vergelijkt...

Oh ja.. Misschien komt het omdat er maar 10 bugs in het base OS over
heel 2007 waren.. Dan kun je jezelf niet meer als beste uitroepen
natuurlijk..

"Wat is erger, het uitrollen van 100 of 10 security updates per
jaar?"
Hmm.. Wat is erger, 100 minor patches of 10 criticals?

Los van de cijfertjes klopt het wel zegt mijn eigen gevoel en ervaring.
Evenzo klopt het puntje dat FreeBSD het beste trackrecord heeft mi.

Of hebben andere mensen een andere ervaring?
24-01-2008, 14:24 door Anoniem
Door Eerde
Zo laat hij weten dat de cijfers zijn te verifiëren,
en dat het daarom niet uitmaakt dat hij voor Microsoft
werkt.
Dat zegt nix want het aantal lekken en dus benodigte patches
zijn niet te controleren omdat de broncode niet beschikbaar
is. Hetgeen betekend dat de cijfers dus niet te controleren
zijn, we moeten immers M$ op hun woord geloven.

@ SirDice
FreeBSD ? Zijn er nog mensen die dat gebruiken dan :p

Jazeker. Ook ik gebruik FreeBSD en niet alleen op m'n
servers ...

"Frl"
24-01-2008, 15:30 door SirDice
Door Eerde
@ SirDice
FreeBSD ? Zijn er nog mensen die dat gebruiken dan :p
Meer dan je denkt. Een stealthy underdog noemen ze dat ;)

http://news.netcraft.com/archives/2008/01/06/swishmail_and_iweb_are_the_most_reliable_hosting_companies_in_december_2007.html
24-01-2008, 15:37 door Anoniem
MS Windows besturingssysteem is slechts het minste wat men nodig heeft om een computer te kunnen gebruiken. De meeste Linux distributies bestaan uit vele duizenden stukken software die allen bijgewerkt worden en ook lekken bevatten. Voor zover ik weet heeft de Mac ook een veel aantal stukken software. Dus als men zegt dat Windows beter is omdat er minder lekken zijn, dan moet men bij de andere systemen wel even in het achterhoofd houden dat er ook browsers, tekstverwerkers en weet ik niet allemaal wat gepatched worden. Verder zegt mijn ervaring dat Microsoft het niet zo nauw neemt met gemelde (mogelijke) lekken. Het feit dat Microsoft een lek patched, zegt niets over de lekken die men moedwillig in het systeem laat, maar dat terzijde.

Dus in dit geval zegt het aantal lekken op systeem/distributie niet zoveel. Misschien kloppen de totaal getallen wel, maar waren die dan alleen voor de 'core' componenten of voor alle beschikbare software? En worden de Windows updates die komen op een eerdere patch, geteld als 1 lek of meerdere? Ach, laat die Microsoft marketing machine maar lekker draaien, ik ben blij dat ik software gebruik waarvan ik op de hoogte wordt gesteld dat het onveilig kan zijn en dat er tenminste een 'iets' of iemand(en) achter zit die er moeite voor doet het zo snel mogelijk op te lossen.

Voor m'n werk moet ik gebruik maken van WindowsXPsp2 (gesloten MS omgeving), maar op de servertjes draai ik Debian Stable en voor thuis is het Debian (Un)Stable.
24-01-2008, 15:57 door Anoniem
@ redactie :

Waarom publiceren jullie dit soort nietszeggende prietpraat die duidelijk
van de marketing afdeling van Microsoft komt ?
24-01-2008, 15:57 door Anoniem
Ach ja ....ik installeer dagelijks de patches en fixes, inderdaad microsoft
heeft er 3-4 keer zoveel dan de unix-achtigen. Inderdaad microsoft heeft
meer critical patches en fixes. Maar er is 1 ding erger een
systeembeheerder die ze niet installeert.

Inhoeverre is dit vergelijken belangrijk ? Je weet hoe meer regels code
hoe meer (potentiële) fouten, een vergelijking die Novell (good old Novell)
al 8 jaar geleden maakte.

Even een reality check, hoeveel mensen zouden nu op een Linux Desktop
kunnen draaien ? Je kunt maar 1 ding doen, software fabrikanten onder
druk zetten, door applicaties ook op Linux te vragen. Want niet alleen het
OS maakt je systeem, ook je applicaties en de meeste trendzettende
applicaties zijn er -helaas- alleen onder Windows.
24-01-2008, 16:42 door Anoniem
"Een door Microsoft uitgevoerd onderzoek laat zien ..." Alleen al daar door
geloof ik er al geen bal meer van dat onderzoek.
24-01-2008, 16:47 door Anoniem
VIsta? Wie draait dat nou weer...
24-01-2008, 17:10 door Eerde
@ano

Want niet alleen het OS maakt je systeem, ook je
applicaties en de meeste trendzettende applicaties zijn er
-helaas- alleen onder Windows.

Is dat zo ? Noem er eens een paar ik wordt nieuwsgierig....
24-01-2008, 17:52 door Anoniem
Wij van WC-eend hebben geconstateerd dat de verkopen van de
nieuwe WC-eend achter blijven bij de verwachtingen. Laten we
daarom maar roepen dat de nieuwe WC-eend beter is dan de oude...
24-01-2008, 18:41 door Anoniem
"Is dat zo ? Noem er eens een paar ik wordt nieuwsgierig...."

Ga maar eens proberen in een groot bedrijf (1000+
medewerkers) om alle benodigde applicaties voor een ander OS
te krijgen dan Windows (naast de gebruikelijke pakketten
zoals Office e.d. kan je dan ook denken aan clients voor
billing systemen, CRM pakketten, en allerlij andere zaken),
nog afgezien van de omscholing van veel medewerkers welke
nodig zou zijn in een non-Microsoft omgeving.

Of je het nou leuk vindt of niet, Windows is de de-facto
standaard voor desktops, en daar richten andere software
leveranciers zich dan ook met name op.
24-01-2008, 19:46 door Anoniem
Kunnen jullie niet eens *onafhankelijke* rapporten
publiceren over de veiligheid van produkten als Vista.
Immers is het iedereen, inclusief de redactie (mag ik
hopen), duidelijk dat dit soort onderzoeken niet objectief
zijn, niet onafhankelijk, en slechts bedoeld ter promotie
van het eigen produkt.

Gaan jullie soms ook artikelen plaatsen van Nedap, wanneer
zij hun eigen stemcomputers zouden gaan onderzoeken, en als
onfeilbaar bestempelen ? Wat mij betreft raakt het plaatsen
van dit soort artikelen de geloofwaardigheid van http://www.security.nl
25-01-2008, 03:48 door Anoniem
Door Anoniem
"Is dat zo ? Noem er eens een paar ik wordt
nieuwsgierig...."

Ga maar eens proberen in een groot bedrijf (1000+
medewerkers) om alle benodigde applicaties voor een ander OS
te krijgen dan Windows (naast de gebruikelijke pakketten
zoals Office e.d. kan je dan ook denken aan clients voor
billing systemen, CRM pakketten, en allerlij andere zaken),
nog afgezien van de omscholing van veel medewerkers welke
nodig zou zijn in een non-Microsoft omgeving.

Of je het nou leuk vindt of niet, Windows is de de-facto
standaard voor desktops, en daar richten andere software
leveranciers zich dan ook met name op.

Als het bijgevoegde artikeltje even uitprint heb je wat te
lezen in het afkickcentrum.

http://www.roughlydrafted.com/2007/12/15/soviet-microsoft-stockholm-syndrome-among-unswitchable-windows-users/

"Frl"
25-01-2008, 07:16 door Anoniem
Door Anoniem
Wij van WC-eend hebben geconstateerd dat de verkopen van de
nieuwe WC-eend achter blijven bij de verwachtingen. Laten we
daarom maar roepen dat de nieuwe WC-eend beter is dan de
oude...

En als het moet beweerd M$ nog dat IE 8 veiliger is dan Lynx.
25-01-2008, 08:51 door Nomen Nescio
Door Eerde
De maandelijkse FUD.

Maar ja dat er weinig lekken gevonden en gepatcht worden heb
je natuurlijk bij closed source. Bij open source zijn er
veel meer oogjes om problemen op te sporen en die kunnen
vervolgens gepatcht worden.

Ergo open source is per definitie veiliger ;)
Dus Open Source is beter omdat er meer lekken worden gevonden?
Ben jij wel helemaal lekker?
25-01-2008, 08:56 door Nomen Nescio
Door Anoniem
@ redactie :

Waarom publiceren jullie dit soort nietszeggende prietpraat die duidelijk
van de marketing afdeling van Microsoft komt ?
Wat is dit voor onzin? De redactie brengt toch ook nietszeggende
prietpraat van Apple, of Symantec, of zo?

En verder word ik een beetje ziek van al die Microsofthaat hier. Allemaal
mensen die zichzelf o zo intelligent vinden. Maar verklaar dan maar eens
één ding: waarom werkt 90% van de mensen over de hele wereld met
Windows? Allemaal stommelingen? En hier alleen maar Einsteins? Rot
toch op met je arrogante kletspraat.
25-01-2008, 09:24 door Anoniem
Door Anoniem

En als het moet beweerd M$ nog dat IE 8 veiliger is dan
Lynx.

Ga je binnenkort ook Philip$, $ony en $ymantec schrijven?
Want dat M$ is zo flauw en achterhaald. Daarnaast slaat het
ook nergens op: Microsoft is gewoon een commercieel bedrijf,
en commerciele bedrijven willen... winst maken. Dus om de
naam met een $ te schrijven gaat nergens over...

(terug on topic: zou wel fijn zijn als ze eens een wat
groter deel van hun winsten eens zouden besteden aan het
stabieler en veiliger maken van hun besturingssystemen...:) )
25-01-2008, 09:28 door Anoniem
Door Nomen Nescio
En verder word ik een beetje ziek van al die Microsofthaat
hier. Allemaal
mensen die zichzelf o zo intelligent vinden. Maar verklaar
dan maar eens
één ding: waarom werkt 90% van de mensen over de hele wereld
met
Windows? Allemaal stommelingen? En hier alleen maar
Einsteins? Rot
toch op met je arrogante kletspraat.

Een groot deel van het feit dat 90% van de gebruikers
Windows heeft, is te verklaren uit het feit dat Microsoft
gewoon op de juiste tijd op de juiste plaats was. Daarnaast
hebben Bill en consorten een heel sterk team van goede
marketingmensen gehad, en nooit geschroomd om (regelmatig op
oneigenlijke wijze) de concurrentie uit de markt te drukken.

Maar het feit dat 90% van de mensen iets gebruikt, wil niet
zeggen dat het goed is. Het wil alleen zeggen dat de
concurrentie niet sterk genoeg ontwikkeld is, of nog geen
volwaardig alternatief heeft kunnen bieden. Gelukkig komt
dat laatste er wel aan (voor zover het er nog niet is)...
25-01-2008, 10:38 door Anoniem
Door Anoniem
Kunnen jullie niet eens *onafhankelijke* rapporten
publiceren over de veiligheid van producten als Vista.
Immers is het iedereen, inclusief de redactie (mag ik
hopen), duidelijk dat dit soort onderzoeken niet objectief
zijn, niet onafhankelijk, en slechts bedoeld ter promotie
van het eigen product.

Gaan jullie soms ook artikelen plaatsen van Nedap, wanneer
zij hun eigen stemcomputers zouden gaan onderzoeken, en als
onfeilbaar bestempelen ? Wat mij betreft raakt het plaatsen
van dit soort artikelen de geloofwaardigheid van
http://www.security.nl
de redactie plaatst gewoon nieuws, ze geven er geen oordeel
over. je mag / moet zelf je eigen conclusies trekken. als er
een onafhankelijk onderzoek gepubliceerd wordt zullen ze dat
ook plaatsen.
25-01-2008, 10:59 door Anoniem
"de redactie plaatst gewoon nieuws, ze geven er geen oordeel over. je
mag / moet zelf je eigen conclusies trekken. als er een onafhankelijk
onderzoek gepubliceerd wordt zullen ze dat ook plaatsen."

Het is maar de vraag of een publicatie van een producent waarin deze uit
marketing oogpunt het eigen produkt de hemel in prijst nieuws(-waardig)
is te noemen.
25-01-2008, 11:05 door Anoniem
Door Eerde
@ano

Want niet alleen het OS maakt je systeem, ook je
applicaties en de meeste trendzettende applicaties zijn er
-helaas- alleen onder Windows.

Is dat zo ? Noem er eens een paar ik wordt nieuwsgierig....

Adobe Premiere, Photoshop (gimp is leuk maar niet helemaal) ...nog meer
opnoemen ? Boekhoudpakketten ....Mijn kijk is realistisch en ik kies geen
zijde, ik heb veel te maken met mixed environments.
25-01-2008, 11:42 door Anoniem
"Adobe Premiere, Photoshop (gimp is leuk maar niet helemaal) ...nog
meer opnoemen ? Boekhoudpakketten ....Mijn kijk is realistisch en ik kies
geen zijde, ik heb veel te maken met mixed environments."

Je noemt nu zaken op die cross-platform beschikbaar zijn, en Adobe
pakketten zijn praktisch allemaal ook voor MacOS/MacOSX verkrijgbaar (ik
denk dat voor diehard Adobe fans de Mac nog steeds hun ''preferred OS''
is ?).
25-01-2008, 15:46 door Anoniem
Door Nomen Nescio
Door Eerde
De maandelijkse FUD.

Maar ja dat er weinig lekken gevonden en gepatcht worden heb
je natuurlijk bij closed source. Bij open source zijn er
veel meer oogjes om problemen op te sporen en die kunnen
vervolgens gepatcht worden.

Ergo open source is per definitie veiliger ;)
Dus Open Source is beter omdat er meer lekken worden gevonden?
Ben jij wel helemaal lekker?

Klopt toch? meer lekken gevonden == minder lekken die
ongemerkt aanwezig zijn. Voor simpele fouten als buffer
overflows zal dit zeker gelden. Ook komt het minder voor dat
bij open source projecten bekende problemen geheim gehouden
worden.
25-01-2008, 15:49 door Anoniem
Door Anoniem
"Adobe Premiere, Photoshop (gimp is leuk maar niet
helemaal) ...nog
meer opnoemen ? Boekhoudpakketten ....Mijn kijk is realistisch en ik kies
geen zijde, ik heb veel te maken met mixed environments."

Je noemt nu zaken op die cross-platform beschikbaar zijn, en Adobe
pakketten zijn praktisch allemaal ook voor MacOS/MacOSX verkrijgbaar (ik
denk dat voor diehard Adobe fans de Mac nog steeds hun ''preferred OS''
is ?).

Klopt als je mijn vorige verhaal gelezen had zag je misschien dat we het
hadden over Linux en niet Mickey Mac OS
27-01-2008, 17:36 door Anoniem
Is het marktaandeel van Vista niet kleiner dan XP, Mac OS X
en Linux?
28-01-2008, 23:08 door Anoniem
Door Anoniem
Door Nomen Nescio
Door Eerde
De maandelijkse FUD.

Maar ja dat er weinig lekken gevonden en gepatcht worden heb
je natuurlijk bij closed source. Bij open source zijn er
veel meer oogjes om problemen op te sporen en die kunnen
vervolgens gepatcht worden.

Ergo open source is per definitie veiliger ;)
Dus Open Source is beter omdat er meer lekken worden gevonden?
Ben jij wel helemaal lekker?

Klopt toch? meer lekken gevonden == minder lekken die
ongemerkt aanwezig zijn. Voor simpele fouten als buffer
overflows zal dit zeker gelden. Ook komt het minder voor dat
bij open source projecten bekende problemen geheim gehouden
worden.
vrijwel niet idd
Dit is onderdeel van Microsofts strategie. Veel updates is
toch juist goed, dit betekend niet dat het besturingssysteem
onveiliger is.
Bovendien hebben kritieke veiligheid-updates in linux een
heel andere defenitie. Bij Windows is het vaak: als je dat
plaatje via internet explorer opent heb je een virus.(of
iets dergelijks).
Bij Linux is het: als je dat pakketje hebt geïnstalleerd en
je opent dat bestand in dat pakketje, en vult daarna je
wachtwoord in én je bent als beheerder ingelogd dan loop kan
er code uitgevoerd worden. (of iets dergelijks). Natuurlijk
is het belangrijk dat dat gebeurt maar zulke onzin dat vista
veiliger zou zijn, is gewoon nonsens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.