Drie jaar op rij was Microsoft de ontwikkelaar met de meeste lekken, maar inmiddels is die positie door Apple overgenomen. IBM's ISS X-Force bekeek het aantal gemelde kwetsbaarheden in de eerste helft van 2009. Tien ontwikkelaars waren bij elkaar verantwoordelijk voor 24% van alle meldingen. Een top 10 die afscheid nam van WordPress en TYPO3, maar bovenin de nodige veranderingen kende. Onderzoekers noemen de nieuwe plek van Microsoft een "significante verandering". De softwaregigant staat op de derde plek, achter Sun en Apple. Met name de opkomst van Sun was een verrassing. Mozilla is met 1,8% op de zevende plek positie terug te vinden. Net als vorig jaar, wacht bijna de helft (49%) van de gemelde beveiligingslekken aan het eind van de periode nog altijd op een patch.
Vooral Joomla! maakt het bont door van de 40 gemelde kwetsbaarheden er slechts 8 te patchen. Dat betekent dat 80% van de lekken (32) nog op een update wachten. Apple is in dit overzicht met 22 (18%) openstaande lekken tweede, gevolgd door Microsoft met 17 (17%). Mozilla liet 8 lekken (14%) ongepatcht, wat een vijfde plek oplevert. In totaal werden er in de eerste helft van dit jaar 3240 nieuwe kwetsbaarheden gerapporteerd. Acht procent minder dan in dezelfde periode een jaar eerder.
De meeste beveiligingslekken worden nog altijd in webapplicaties en ActiveX controls gevonden. Cross siite scripting (XSS), SQL injection en file include kwetsbaarheden zijn de meest voorkomende beveiligingsproblemen voor webapplicaties, waarbij XSS en SQL injection met beide 33% de eerste plek bekleden. Met name in mei was er een explosieve toename van het aantal SQL-injectie aanvallen.
Besturingssysteem
X-Force onderzocht ook het aantal ernstige lekken in besturingssystemen en het totaal aantal kwetsbaarheden dat alleen het OS treft. In dit geval komt Sun Solaris op de eerste plek, gevolgd door Apple, Linux, Microsoft en BSD. De laatst genoemde blijft als enige onder de 20 "vulnerability disclosures", terwijl Sun, Apple en Linux elk rond de 60 zitten. Wordt er naar de ernstige kwetsbaarheden gekeken, dan is Microsoft weer koploper. 39% van de lekken bij de softwaregigant valt in deze categorie. Apple (18%), Sun (14%) en Linux (14%) doen het in dit geval veel beter.
Browser
Had Mozilla in 2007 nog met een ongekend laag aantal lekken te maken, in de eerste helft van dit jaar rapporteerde het meer kwetsbaarheden dan Internet Explorer. Toch lopen IE-gebruikers het grootste risico. De meeste client-side lekken zitten nog altijd in ActiveX. Dat komt ook terug in de Top 5 van meest gebruikte exploits. Op de eerste plaats misbruiken aanvallers nog altijd het Microsoft MDAC ActiveX-lek uit 2006, gevolgd door het Snapshot Viewer ActiveX-lek uit 2008. Op de derde plek noteert X-Force een twee jaar oude kwetsbaarheid in Adobe Acrobat. Het enige lek uit dit jaar dat aanvallers op grote schaal gebruiken betreft de Microsoft IE7 DHTML Object Reuse kwetsbaarheid. Als laatste is in de Top 5 web browser exploits, een exploit voor een RealPlayer ActiveX-lek uit 2007 te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.