image

Apple verslaat Microsoft als meest lekke ontwikkelaar

vrijdag 28 augustus 2009, 12:05 door Redactie, 11 reacties

Drie jaar op rij was Microsoft de ontwikkelaar met de meeste lekken, maar inmiddels is die positie door Apple overgenomen. IBM's ISS X-Force bekeek het aantal gemelde kwetsbaarheden in de eerste helft van 2009. Tien ontwikkelaars waren bij elkaar verantwoordelijk voor 24% van alle meldingen. Een top 10 die afscheid nam van WordPress en TYPO3, maar bovenin de nodige veranderingen kende. Onderzoekers noemen de nieuwe plek van Microsoft een "significante verandering". De softwaregigant staat op de derde plek, achter Sun en Apple. Met name de opkomst van Sun was een verrassing. Mozilla is met 1,8% op de zevende plek positie terug te vinden. Net als vorig jaar, wacht bijna de helft (49%) van de gemelde beveiligingslekken aan het eind van de periode nog altijd op een patch.

Vooral Joomla! maakt het bont door van de 40 gemelde kwetsbaarheden er slechts 8 te patchen. Dat betekent dat 80% van de lekken (32) nog op een update wachten. Apple is in dit overzicht met 22 (18%) openstaande lekken tweede, gevolgd door Microsoft met 17 (17%). Mozilla liet 8 lekken (14%) ongepatcht, wat een vijfde plek oplevert. In totaal werden er in de eerste helft van dit jaar 3240 nieuwe kwetsbaarheden gerapporteerd. Acht procent minder dan in dezelfde periode een jaar eerder.

De meeste beveiligingslekken worden nog altijd in webapplicaties en ActiveX controls gevonden. Cross siite scripting (XSS), SQL injection en file include kwetsbaarheden zijn de meest voorkomende beveiligingsproblemen voor webapplicaties, waarbij XSS en SQL injection met beide 33% de eerste plek bekleden. Met name in mei was er een explosieve toename van het aantal SQL-injectie aanvallen.

Besturingssysteem
X-Force onderzocht ook het aantal ernstige lekken in besturingssystemen en het totaal aantal kwetsbaarheden dat alleen het OS treft. In dit geval komt Sun Solaris op de eerste plek, gevolgd door Apple, Linux, Microsoft en BSD. De laatst genoemde blijft als enige onder de 20 "vulnerability disclosures", terwijl Sun, Apple en Linux elk rond de 60 zitten. Wordt er naar de ernstige kwetsbaarheden gekeken, dan is Microsoft weer koploper. 39% van de lekken bij de softwaregigant valt in deze categorie. Apple (18%), Sun (14%) en Linux (14%) doen het in dit geval veel beter.

Browser
Had Mozilla in 2007 nog met een ongekend laag aantal lekken te maken, in de eerste helft van dit jaar rapporteerde het meer kwetsbaarheden dan Internet Explorer. Toch lopen IE-gebruikers het grootste risico. De meeste client-side lekken zitten nog altijd in ActiveX. Dat komt ook terug in de Top 5 van meest gebruikte exploits. Op de eerste plaats misbruiken aanvallers nog altijd het Microsoft MDAC ActiveX-lek uit 2006, gevolgd door het Snapshot Viewer ActiveX-lek uit 2008. Op de derde plek noteert X-Force een twee jaar oude kwetsbaarheid in Adobe Acrobat. Het enige lek uit dit jaar dat aanvallers op grote schaal gebruiken betreft de Microsoft IE7 DHTML Object Reuse kwetsbaarheid. Als laatste is in de Top 5 web browser exploits, een exploit voor een RealPlayer ActiveX-lek uit 2007 te vinden.

Reacties (11)
28-08-2009, 12:24 door SirDice
Ik heb geen zin om een account aan te maken daar om dat rapport te zien.

Maar ik vraag me af of bijv. Samba bij Linux wordt gerekend. Vervolgens vraag ik me af of diezelfde samba dan ook bij BSD, Sun en Apple gerekend wordt. Als ik naar het grafiekje kijk voor BSD denk ik dat Samba er niet bij geteld wordt.
28-08-2009, 12:51 door Van Hoorne
Het begint hier steeds meer op de Telegraaf te lijken. Iedereen die ze hier niet mogen, wordt stelselmatig afgemaakt. Linux moet het wezen en anders ben je rijp voor het gesticht. Ik heb trouwens nog iets gelezen, een onderzoek naar de meest brakke redacties. Security.nl streefde daarin nou zelfs WebWereld voorbij.
28-08-2009, 12:54 door Anoniem
Samba is voor beide OSsen een 3rd party applicatie. Het gaat hier denk ik om OSsen zelf.

BSD FTW!
28-08-2009, 12:54 door Zipper306
Door Van Hoorne: Het begint hier steeds meer op de Telegraaf te lijken. Iedereen die ze hier niet mogen, wordt stelselmatig afgemaakt. Linux moet het wezen en anders ben je rijp voor het gesticht. Ik heb trouwens nog iets gelezen, een onderzoek naar de meest brakke redacties. Security.nl streefde daarin nou zelfs WebWereld voorbij.

Microsoft verslagen door Apple?
28-08-2009, 13:19 door SirDice
Door Anoniem: Samba is voor beide OSsen een 3rd party applicatie. Het gaat hier denk ik om OSsen zelf.
In dat geval hoort linux niet eens in dat rijtje thuis aangezien het alleen maar een kernel is ;)
28-08-2009, 13:36 door Anoniem
Door Van Hoorne: Het begint hier steeds meer op de Telegraaf te lijken. Iedereen die ze hier niet mogen, wordt stelselmatig afgemaakt. Linux moet het wezen en anders ben je rijp voor het gesticht. Ik heb trouwens nog iets gelezen, een onderzoek naar de meest brakke redacties. Security.nl streefde daarin nou zelfs WebWereld voorbij.

Lees jij een ander artikel dan ik of zo? Ik zie nergens dat Linux voor wordt getrokken. Of val je over het zinnetje: "Wordt er naar de ernstige kwetsbaarheden gekeken, dan is Microsoft weer koploper." Als dat uit de cijfers blijkt dan is het terecht om dat te vermelden, ook als het niet met jouw voorkeur strookt. Of beschuldig je de reactie ervan de cijfers aan te passen?

Ik proef meer vooringenomenheid in jouw commentaar dan in het artikel. Misschien moet je even buiten gaan uitwaaien en het dan nog eens lezen.
28-08-2009, 19:18 door Anoniem
Door Anoniem:
Door Van Hoorne: Het begint hier steeds meer op de Telegraaf te lijken. Iedereen die ze hier niet mogen, wordt stelselmatig afgemaakt. Linux moet het wezen en anders ben je rijp voor het gesticht. Ik heb trouwens nog iets gelezen, een onderzoek naar de meest brakke redacties. Security.nl streefde daarin nou zelfs WebWereld voorbij.

Lees jij een ander artikel dan ik of zo? Ik zie nergens dat Linux voor wordt getrokken. Of val je over het zinnetje: "Wordt er naar de ernstige kwetsbaarheden gekeken, dan is Microsoft weer koploper." Als dat uit de cijfers blijkt dan is het terecht om dat te vermelden, ook als het niet met jouw voorkeur strookt. Of beschuldig je de reactie ervan de cijfers aan te passen?

Ik proef meer vooringenomenheid in jouw commentaar dan in het artikel. Misschien moet je even buiten gaan uitwaaien en het dan nog eens lezen.
Het is hier al doorlopend een en al Linux wat de klok slaat. Kritiek lees je niet of nauwelijks als het om Linux gaat. Ik denk dat jij een ander soort bril opzet. Iets met verkeerde kleuren of zo.
28-08-2009, 22:18 door Anoniem
Ach ja in ieder besturingssysteem zitten fouten, dus geen enkel is waterdicht op lekken,en bugs.
Maar ja sommige foutjes worden niet opgemerkt in het dagelijks gebruik,dus zal de gemiddelde gebruiker van sommige foutjes geen last hebben terwijl die dus nog wel in het programma zitten, of in je besturingssysteem.
Natuurlijk zitten de lekken bij ieder besturingssysteem of programma op een andere plaats,zodat de kwetsbaarheden in sommige gevallen niet als ernstig zijn voor de gewone man, en dus niet behandeld worden alvorens er een servicepack uitkomt of iets dergelijks. Dus er wordt alleen aan de echt ernstige lekken gewerkt,die met updates worden weggewerkt,en soms met een servicepack of geheel in een nieuwe versie van een programma of besturingssysteem.
Dit om de echte hacker buien de deur te houden.
Maar ja men wordt steeds slimmer,dus updaten voor een betere beveiliging van je pc blijft wel van belang.
29-08-2009, 10:43 door Anoniem
Is het de apple die lek is, of is het de onderlaag waar het apple (OS) op draait?

Ik ben blij met mijn apple ;) en zal het blijven gebruiken.
29-08-2009, 12:33 door Anoniem
Door Anoniem:
Het is hier al doorlopend een en al Linux wat de klok slaat. Kritiek lees je niet of nauwelijks als het om Linux gaat. Ik denk dat jij een ander soort bril opzet. Iets met verkeerde kleuren of zo.

Je reageerde op mij. Dat we een andere bril ophebben is duidelijk, alleen heb ik niet het idee dat het de glazen van mijn bril al te sterk gekleurd zijn.

Ik heb in het verleden drie versies van Windows op mijn privécomputers gebruikt, 3.11, '95 en ME. Het gebrek aan stabiliteit en het gebrek aan verantwoordelijkheid dat Microsoft daar toen voor nam, met name bij ME, heeft destijds een rol gespeeld in mijn besluit Linux te gaan gebruiken. Maar ik ben niet blind, in mijn vorige baan kwam ik uitgebreid in aanraking met Windows (t/m Vista), de dotNet-ontwikkelomgeving, Sharepoint en ga zo maar door, en het is me volkomen duidelijk dat Microsoft-producten sinds de 95-98-ME-lijn aanzienlijk stabieler en veiliger zijn geworden. Ik ben daar positief over.

Je kan vallen over de melding dat Windows het slechter doet dan de andere onderzochte besturingssystemen in termen van aantallen ernstige lekken. Je kan erover vallen dat ActiveX (oude technologie) nog steeds een vehikel voor veel lekken is. Maar je mist kennelijk dat er een positieve trend wordt geconstateerd. Microsoft is niet meer de leverancier met de meeste lekken. Als je op het tweede grafiekje klikt zie je de lijn van Microsoft gemiddeld lager worden terwijl die van Apple en Sun stijgen. De laatste jaren heeft Microsoft expliciet werk gemaakt van het verbeteren van de beveiliging en dat werpt zichtbaar vruchten af. De cijfers geven misschien aan dat het nog beter kan, maar dat neemt niet weg dat de positieve trend duidelijk gaande is, en dat die trend er is blijkt gewoon uit het artikel. Misschien vind je het niet expliciet genoeg blijken. Misschien vind je dat de eerste zin teveel in negatieve termen is uitgedrukt, misschien kan je er niet tegen dat er bij een (weliswaar belangrijk) aspect wordt vermeld dat Linux het samen met een rijtje anderen beter doet, maar als je daarvan zodanig op tilt slaat dat je de rest van het artikel niet meer tot je kan nemen dan ben je dingen erg aan het uitvergroten en is even uitwaaien inderdaad geen slecht idee.

Het beeld in dit artikel is dus heel wat genuanceerder dan "Linux is perfect en Windows is troep", dat staat er gewoon niet. Als je nog steeds meent dat ik een gekleurde bril draag, leg dan eens uit over welke dingen in het artikel je eigenlijk valt, en op welke manier dat een onjuiste voorstelling van zaken is. De zwart-witte toon waarin deze klachten, ook bij andere artikelen, geuit worden is namelijk in mijn ogen steevast veel extremer dan de artikelen zelf, waar ik de voorkeur vaak niet of nauwelijks in ontdek.

Ik ben heel benieuwd naar de onderbouwing van je uitspraken.
29-08-2009, 15:13 door Anoniem
Door Anoniem:
Het is hier al doorlopend een en al Linux wat de klok slaat. Kritiek lees je niet of nauwelijks als het om Linux gaat. Ik denk dat jij een ander soort bril opzet. Iets met verkeerde kleuren of zo.

Dit is toch allemaal om te lachen.

Staat er iets negatiefs over Microsoft in een bericht dan wordt de redactie voor partijdig uitgemaakt omdat het Linux voortrekt. Komt er een positief artikel over Microsoft dan wordt er beweerd dat de redactie betaald wordt door Microsoft om reclame te maken.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.