Nieuws

Apple levert meest lekke software

maandag 12 juli 2010, 14:07 door Redactie, 17 reacties

De software van Apple bevat in vergelijking met andere leveranciers de meeste beveiligingslekken, zo staat in een rapport van het Deense Secunia. "Cupertino" verslaat daarmee Oracle, dat sinds 2005 de meeste gaten in de software had. Daarbij zijn ook de lekken in Sun's Java producten meegeteld. Microsoft is derde, voor HP en Adobe. Bij elkaar zijn de tien meest lekke ontwikkelaars goed voor 38% van alle gerapporteerde kwetsbaarheden.

Beveiligingsbedrijf Secunia onderzocht ook het aantal lekken waarmee doorsnee eindgebruikers te maken kregen. Van 2007 tot 2009 verdubbelde het aantal lekken op de desktop, van 220 naar 420. De meeste kwetsbaarheden bevinden zich niet in Windows, maar in applicaties van andere ontwikkelaars.

Microsoft
Cybercriminelen richten zich steeds vaker op deze applicaties, mede omdat gebruikers ze niet updaten of omdat dit lastig te doen is. Van de top 50 populaire programma's zijn er 26 van Microsoft, die eenvoudig zijn te updaten, aldus Secunia. De overige 24 programma's zijn afkomstig van 13 andere ontwikkelaars, wat betekent dat gebruikers 13 verschillende updaters moeten gebruiken.

"Vanuit het oogpunt van een aanvaller, levert het aanvallen van third-party programma's het meeste op en zal dit waarschijnlijk nog wel even zo blijven. Maar weinig leveranciers hebben de financiële middelen en expertise van Microsoft om continue het misbruik van hun software te bemoeilijken." Daarnaast beschikt de softwaregigant over een eenvoudig auto-update mechanisme.

Firefox
Wordt er gekeken naar third-party applicaties voor Windows, dan is Firefox de meest lekke software. De browser kreeg vorig jaar 96 lekken te verduren, die via 15 patches werden verholpen. Apple's Safari is met 84 lekken en negen patchmomenten tweede. In Google Chrome en Sun Java werden elk 70 kwetsbaarheden ontdekt. De lijst van lekke Microsoft software, wordt met 49 lekken door Internet Explorer aangevoerd. De Excel Viewer is met 37 kwetsbaarheden tweede, terwijl Excel met 30 lekken derde is.

Volgens Secunia is het risico van beveiligingslekken en ongepatchte systemen op twee manieren te voorkomen, namelijk bewustzijn bij gebruikers en een uniforme patch-oplossing.

Nederlandse banken verslaan Trojaans paard

"Sun Tzu ongeschikt voor IT-beveiliging"

Reacties (17)

12-07-2010, 14:43 door Anoniem

Ze hebben het meeste 'lekken' maar zijn niet het 'lekst'.
Kijk naar de tijd van aanmelden bug, tot oplossing. Dan zal Adobe of Microsoft waarschijnlijk bovenaan de lijst staan. Het 'aantal' lekken ZEGT NIETS.

Alles is lek. Overal zitten fouten. De vraag is of en wanneer deze gevonden worden. En de volgende vraag is, hoe snel je leverancier dit voor je oplost.

12-07-2010, 14:48 door Anoniem

lol: "Google Chrome van Adobe", dat wist ik niet...

12-07-2010, 14:53 door Anoniem

Geeft nogal vertekend beeld.
Elke stuk software dat veelgebruikt word en voornamelijk, dat communiceert over het internet, of gebruikt word bij het afspelen/bekijken van dingen op het internet, is een high value target.

Firefox, Internet Explorer, Chrome, Opera, Flash, Java, Msn, Skype, en ik zou willen zeggen PDF, maar spijtig genoeg is het bij PDF's voornamelijk op Adobe Acrobat Reader gericht, ik denk niet dat het ook maar iemand verbaasd dat de baddies hun pijlen hier op afschieten.

Markt penetratie van het product bepaald enorm veel over hoe sterk het product getest word op fouten door security professionals en baddies.

Wilt niet zeggen dat de rest van de software effectief veiliger is, wilt gewoon zeggen dat er hier minder mensen met de microscoop over gaan :)

My 2c

12-07-2010, 15:01 door cyberpunk

Misschien kunnen ze ook eens kijken naar de snelheid/traagheid om die lekken te dichten. Wat zegt "meest lekke" immers als het gaat om software die bijna dadelijk gepatcht (sp?) wordt? Bijv. 1 lek dat na 30 dagen nog altijd niet gedicht is in vergelijking met 10 lekken die na 5 dagen al gedicht worden.

12-07-2010, 16:01 door Iamtheking

Door Anoniem: Ze hebben het meeste 'lekken' maar zijn niet het 'lekst'.
Kijk naar de tijd van aanmelden bug, tot oplossing. Dan zal Adobe of Microsoft waarschijnlijk bovenaan de lijst staan. Het 'aantal' lekken ZEGT NIETS.

Alles is lek. Overal zitten fouten. De vraag is of en wanneer deze gevonden worden. En de volgende vraag is, hoe snel je leverancier dit voor je oplost.

Hebbie bewijzen voor je beweringen? Of roep je zomaar wat?

12-07-2010, 17:03 door Anoniem

Houd er wel rekening mee, ontzettend veel security issues binnen Mac OS X zijn fouten in 3rd-party stukken software. Denk aan OpenSSL, OpenSSH, de BSD codebase, CUPS, Apache, etc. Deze stukken code zijn Open Source en worden overal en nergens gebruikt. Er zit ontzettend veel peer reviewing op die code, dus dan komen security issues vaker naar boven. Als er 1 bug wordt gevonden in zo'n stuk software, zie je minstens 15 vendors security errata publiceren.

Daarnaast boeit het mij weinig hoeveel security holes een besturingssysteem heeft. Zolang ze maar tijdig verholpen worden. Apple is hier volgens mij niet de beste partij in, maar zover ik weet, zijn ze ook niet een van de slechtere.

12-07-2010, 18:52 door [Account Verwijderd]

[Verwijderd]

12-07-2010, 21:43 door Anoniem

enne ... wat is erger, veel onschuldige (moeilijk te gebruiken) lekken of 1 enkel gapend gat waar iedereen zo door naar binnen fietst?
komkommerkoppentijd

13-07-2010, 04:26 door vinylat45

Het beveiligingsbedrijf Secunia is bang dat mensen overstappen op Mac OS X, en Secunia haar software niet kan verkopen.

13-07-2010, 11:05 door Iamtheking

Door unaniem:

http://www.nu.nl/internet/2291034/software-apple-bevat-meeste-lekken.html

Het is slecht overgenomen. Ik heb nog gezocht op "meest lekke", bij taalunie. Daar kennen ze de combinatie niet. (of ik heb slecht gezocht- ik heb ook een drukke dag achter de rug)

Dat is de kwaliteit van de taal tegenwoordig: meest lekke, meest goede, enzovoort. "lekste" en "beste" kent men niet meer. Voor mij kijk ik steeds meer met een korreltje zout naar informatie die van zulke taalanalfabeten af komt. Als ze al niet normaal kunnen schrijven, wat is dan de kwaliteit van de inhoud?

13-07-2010, 14:41 door Anoniem

Door vinylat45: Het beveiligingsbedrijf Secunia is bang dat mensen overstappen op Mac OS X, en Secunia haar software niet kan verkopen.

Je zou het bijna gaan denken. Storend suggestief, dit nieuwsbericht. Het verwart "lekken welke ontdekt zijn" en "daadwerkelijke kwetsbaarheid door lekken".

Precies en zo blijkt een onderzoek van Secunia nergens op gebaseerd te zijn, Ze kunnen beter hun energie investeren in (echte?) veiligheidsoplossingen.

13-07-2010, 15:38 door Anoniem

Secunia lijkt me een samentrekking van Security en Pecunia... Dat zegt wel genoeg. Een typisch gevalletje "Wij van WC-eend adviseren WC-eend."

13-07-2010, 20:02 door P5ycH0

"Apple levert meest lekke software."
Meh. Het praktische gevaar is nog steeds nihil.

Met common sense kom je namelijk een heel eind:
Download geen illegale zooi,
download geen illegale zooi,
download geen illegale zooi,
gebruik een apart admin account,
make browser 'porn' mode your friend,
blokkeer browser plugins zoals flash (flash cookies r evil) en pdf readers,
zet het auto openen van downloaded files uit,
gebruik geen chrome (meer een privacy ding, maar toch),
etc, etc.

There is NO patch for human stupidity.

(For the non believers: verras me met praktijk cases.)

13-07-2010, 22:18 door Bert de Beveiliger

Door unaniem: Het is slecht overgenomen. Ik heb nog gezocht op "meest lekke", bij taalunie. Daar kennen ze de combinatie niet. (of ik heb slecht gezocht- ik heb ook een drukke dag achter de rug)

De Taalunie zijn zuigkanaries en ik zie ze er voor aan om morgen 'meest lekke' op te nemen in het groene boekje als nieuwe wet.

14-07-2010, 11:42 door Anoniem

Met common sense kom je namelijk een heel eind:
Download geen illegale zooi,
download geen illegale zooi,
download geen illegale zooi,
gebruik een apart admin account,
make browser 'porn' mode your friend,
blokkeer browser plugins zoals flash (flash cookies r evil) en pdf readers,
zet het auto openen van downloaded files uit,
gebruik geen chrome (meer een privacy ding, maar toch)

Meerdere jaren lopend met zonder windows firewall, geen 3rd party firewall lopen op dit systeem, standaard admin account, geen antivirus / anti spam.
Illegale zooi downloaden aan 300 gb / maand, gewoon veel games even uittesten, toch bijna geen games die mijn aandacht kunnen houden, gewoon eens even rondkijken ^^

Paar plugins voor browser wel, en deze is altijd up to date, maar is dan ook het enige, zelfs windows updates staat uit.
Die paar addons en ervaring op het net is echt alles wat je nodig hebt om grootste deel van de problemen zo te ontwijken imho.

Het Enige wat er zowat voor security zorgt op deze machine hier is mijn common sense en mijn dedicated linux Router / Firewall / IDS / IPS.
Overigens word het systeem wel regelmatig ge-imaged zodat als er eens iets fout gaat het snel terug is gezet.
Dit heb ik gelukkig genoeg maar 2 keer moeten doen (besmette usb stick van collega (autorun vergeten dood te modden, my bad) en eens paar probleempjes waarvan ik de bron helaas niet ken.

Overigens bekijk ik het ook met beetje andere ogen, alles gepatcht houden is meer werk dan het mij waard is, gewoon verwachten dat er wel eens iets mis zal gaan en meteen voorzien op deze omstandigheden.

Zo staat alle data met incrementele backups op fileserver, waar ook antivirus op draait. (Clamav)

Geen standaard setup, vrij laks kwa security richting de desktops, maar in de praktijk zeeer tevreden over deze setup!

14-07-2010, 11:53 door SirDice

Door Anoniem: enne ... wat is erger, veel onschuldige (moeilijk te gebruiken) lekken of 1 enkel gapend gat waar iedereen zo door naar binnen fietst?

In dat geval staat Apple zeker eenzaam bovenaan. Van de, pak 'm beet, laatste 200 patches stond zeker 90% code execution toe.

22-07-2010, 12:52 door Anoniem

@vinylat45 Secunia is gratis voor wie dit wil gebruiken hoor! Overigens: een gezonde dosis scepsis is prima, maar het valt me op hoe vaak er een reactie is van: "...de boodschapper van slecht nieuws wordt afgemaakt..." Euphema

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer