Nieuws
image

Microsoft patcht 745 lekken in zes jaar

vrijdag 16 oktober 2009, 11:50 door Redactie, 6 reacties

Sinds Microsoft eind 2003 met een maandelijkse patchcyclus begon, heeft het ongeveer 745 beveiligingslekken in de eigen software gedicht. Daarvoor bracht het zo'n 400 Security Bulletins uit, waarvan er 230 het stempel "critical" van Microsoft meekregen, wat betekent dat aanvallers het lek op afstand kunnen misbruiken om systemen over te nemen. Dit jaar brak de softwaregigant twee keer het recordaantal lekken dat het dichtte, wat samenhangt dat er nu meer kwetsbaarheden worden gevonden dan toen Microsoft met de maandelijkse patchcyclus begon.

Dit jaar staat de teller op zo'n 160, meer dan de 155 die voor heel 2008 werden gerapporteerd. Het aantal kwetsbaarheden in Microsoft producten is de laatste jaren meer dan verdubbeld ten opzichte van 2004 en 2005. De laatste keer dat Microsoft helemaal geen updates op een patchdinsdag uitbracht was op maart 2007, meer dan 30 maanden geleden. In totaal beleefde de softwaregigant de afgelopen zes jaar slechts vier patchvrije maanden, waarvan er twee in 2005 waren. In meer dan 20 gevallen werden er op patchdinsdag meer dan 20 lekken verholpen, terwijl in 10 gevallen het om meer dan 20 lekken ging.

Keurmerk
Ook Apple en Oracle hadden de afgelopen jaren met een groot aantal lekken te maken, maar geen van beide leveranciers heeft net zoveel geld en middelen aan beveiliging uitgegeven als Microsoft deed, met name omdat bij deze bedrijven de drijfveren ontbreken om dit te doen, zegt David Rice, auteur van Geekonomics: The Real Cost of Insecurity Software en president van de Monterey Group.

Volgens hem kunnen leveranciers nog steeds ongestraft onveilige software uitbrengen, in tegenstelling tot de auto-industrie, waar voertuigen een veiligheidskeurmerk krijgen. Daarom hebben veel ontwikkelaars er voor gekozen om niet in de veiligheid van hun product te investeren. "Apple en Oracle zijn klassieke voorbeelden van bedrijven die niet op hetzelfde niveau in beveiliging hebben geïnvesteerd als Microsoft."

DOS-tijdperk
Wat betreft de meest recente patchdinsdag, laat dit de "inherente beperkingen" van de software development life cycle (SDLC) zien als eerste en laatste verdedigingslijn als het om informatiebeveiliging gaat, aldus Amichai Shulman, CTO van Imperva. Ondanks alle investeringen in veilig programmeren en security testing tijdens de ontwikkelingsfase, is het aantal kwetsbaarheden het afgelopen jaar alleen maar toegenomen. Volgens Tim O'Pry, CTO van de Henssler Financial Group, zijn veel van de kwetsbaarheden een erfenis van het DOS-tijdperk, omdat Microsoft compatibiliteit met oude software niet wil opgeven.

Reacties (6)
16-10-2009, 12:30 door Night
Microsoft zou de compatibiliteit met het DOS-tijdperk niet willen opgeven? Wat een BS.

Ik herinner me al de incompatibiliteiten nog als de dag van gisteren.

DOS/Win3.11 -> W95 overgang betekende dat veel software niet meer te gebruiken was.
W95 -> W NT 4.0 was een drama qua incompatibiliteit
NT 4.0 -> XP breek me de b.. niet open hoeveel tijd er is gestoken in onderzoek naar incompatible software.
XP -> Vista incompatibiliteit was wederom een rode draad in de discussies

Vista -> Windows 7 Gelukkig is dat nu allemaal uit de wereld (toch?)

Dat er nog veel legacy code in Windows zit van oudere versies, die lekken bevat of veroorzaakt dat kan ik begrijpen.
Maar dat de wens van MS om compatible te zijn met DOS überhaupt zou bestaan weiger ik te geloven.
16-10-2009, 12:55 door H.King
Het is een kwestie van tijd, zodra apple zijn marktaandeel groeit dan heeft microsoft hun update/veiligheid al zo geperfectioneerd dat we met z,n alle tegen apple aanschoppen omdat dan pas duidelijk wordt hoe goed microsoft hun zaakjes in orde heeft tenopzichte van de rest. (natuurlijk is dit mijn eigen theorie erop)
16-10-2009, 13:28 door Anoniem
En denk een aan dat dataverlies in de nieuwste OS van Apple. De wereld zou te klein zijn als dat bij Microsoft gebeurde. Maar Apple kan dat allemaal gewoon doen.
16-10-2009, 14:45 door Anoniem
Door H.King: Het is een kwestie van tijd, zodra apple zijn marktaandeel groeit dan heeft microsoft hun update/veiligheid al zo geperfectioneerd dat we met z,n alle tegen apple aanschoppen omdat dan pas duidelijk wordt hoe goed microsoft hun zaakjes in orde heeft tenopzichte van de rest. (natuurlijk is dit mijn eigen theorie erop)
Marktaandeel is 1 ding, en dat blijf ik maar een raar excuus vinden. Het is geweten da apple niet veilig is en ik vind idd dat er meer aandacht op moet gevestigt worden. Microsoft gebruikt het update platform optimaal en ik denk dat de meeste bedrijven hier een voorbeeld aan kunnen nemen. Ik vind hun systeem niet goed, maar hun updatesysteem vind ik wel geslaagd.
16-10-2009, 16:38 door Anoniem
"Apple en Oracle zijn klassieke voorbeelden van bedrijven die niet op hetzelfde niveau in beveiliging hebben geïnvesteerd als Microsoft."
Wellicht niet, wanneer je dit in geld tot uitdrukking zou brengen. Het percentage unpatched lekken lijkt bij Microsoft toch wat hoger dan bij Apple het geval is, wanneer je gegevens van bijvoorbeeld Secunia raadpleegt.

De hoeveelheid gedichte lekken en hoeveel men er in heeft geïnvesteerd is wel aardig maar belangrijk is wat er nog op de plank ligt ten opzichte van anderen.
16-10-2009, 17:36 door Anoniem
En de laatste twee maanden? En bereken dan de gemiddelde? Dan is er iets goed mis nietwaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure