Firefox meest lekke browser op internet
Firefox had in de eerste helft van dit jaar de meeste beveiligingslekken van alle browers, maar Apple's Safari nadert snel. Volgens webbeveiliger Cenzic waren browserlekken goed voor 8% van alle weblekken. Mozilla's Firefox is met 44% de meest kwetsbare browser, gevolgd door Apple's Safari, dat een aandeel van 35% veroverde. De plotselinge stijging van Safari wordt verklaard door het toegenomen aantal lekken in iPhone Safari. Internet Explorer komt met 15% op de derde plaats, terwijl Opera met 6% hekkensluiter is.
In totaal werden er 3100 lekken ontdekt, een tien procent stijging ten opzichte van de laatste twee kwartalen vorig jaar, toen de teller op 2835 bleef steken. Negentig procent van de kwetsbaarheden bevond zich in webapplicaties, 8% in webservers en 2% in browsers. Bij webapplicaties komen cross-site scripting (17%) en SQL-injectie (25%) het meest voor. Cenzic maakte ook nog een top 10 van de meest ernstige lekken in willekeurige volgorde.
- phpMyAdmin Configuration File PHP Code Injection Vulnerability - CVE-2009-1285
- SAP cFolders Cross Site Scripting And HTML Injection Vulnerabilities - Bugtraq ID – 34658
- Sun Java System Access Manager Cross-Domain Controller (CDC) Cross Site Scripting Vulnerability - CVE-2009-2268
- Citrix Web Interface Unspecified Cross-Site Scripting Vulnerability - Bugtraq ID – 34761
- Sun Java System Web Server Reverse Proxy Plug-in Cross-Site Scripting Vulnerability - CVE-2009-1934
- Apache Tomcat Form Authentication Existing/Non-Existing Username Enumeration Weakness - CVE-2009-0580
- phpMyAdmin 'setup.php' PHP Code Injection Vulnerability - CVE-2009-1151
- F5 Networks FirePass SSL VPN 'password' Field Cross-Site Scripting Vulnerability - CVE-2009-2119
- Multiple Symantec Products Log Viewer Multiple Script Injection Vulnerabilities - CVE-2009-1428
- IBM Tivoli Identity Manager Multiple Cross Site Scripting Vulnerabilities- Bugtraq ID – 35566
Reacties (30)
10-11-2009, 14:33 door
Syzygy
Oeps
10-11-2009, 14:46 door
[Account Verwijderd]
[Verwijderd]
Eens even tellen hoeveel Microsoft lekker er in de top 10 staan;
ahja, nul.
ahja, nul.
10-11-2009, 14:57 door
Syzygy
Door Hugo:
Door Syzygy: Oeps
Nog zo'n briljante reactie. Als je niks zinnigs te melden heb, reageer dan niet.Want jij bent de baas hier hè, Brainiac, het is trouwens "hebt" met een t , stam + t, weet je nog wel, 3e klas lagere school.
Kijk eens per product naar de hoeveelheid nog niet verholpen lekken. Dan krijg je een heel ander beeld.
10-11-2009, 15:01 door
meinonA
Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Wacht even. "SQL Injection" is toch geen browser lek, of ben ik nou gek? Bovendien lijkt het erop alsof de meeting het aantal lekkages op het web rapporteert, en niet het aantal lekken in Firefox.
Firefox met 1 lek zorgt voor veel meer "lekkage" dan Opera met 100 lekken, omdat Firefox veel populairder is en dus meer wordt gebruikt.
Dus "meest kwetsbare browser" is een beetje te kort door de bocht in dit artikel.
Firefox met 1 lek zorgt voor veel meer "lekkage" dan Opera met 100 lekken, omdat Firefox veel populairder is en dus meer wordt gebruikt.
Dus "meest kwetsbare browser" is een beetje te kort door de bocht in dit artikel.
10-11-2009, 15:13 door
Syzygy
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Juist, vandaar mijn "Oeps"
Morgen ontdekken ze 15 ernstige lekken in IE8 en dan is de mening weet geheel anders.
Dan kan dit item zo overgenomen worden alleen de getalletjes even husselen.
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Maakt geen fluit uit. Lek is lek, en dat zegt in ieder geval genoeg over de software zelf.
Maar van FireFox zijn de bekende lekken nu gedicht, IE8 heeft al heel lang een bekend lek...
10-11-2009, 15:27 door
Syzygy
Door Anoniem:
Maakt geen fluit uit. Lek is lek, en dat zegt in ieder geval genoeg over de software zelf.
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Maakt geen fluit uit. Lek is lek, en dat zegt in ieder geval genoeg over de software zelf.
Als 2 Browers elk 10 lekken hebben en ze vinden en repareren er in browser A: 8 en in B : 3
Welke is dan beter ??
Die getallen zeggen NIKS !!
De ERNST van de lekken en hoeveel er nog in KUNNEN zitten speelt ook een grote rol en je weet nooit hoeveel lekken er nog in zitten dus is zo'n opsomming van lekken en vergelijking tussen andere totaal nietszeggend !
Momentopname, meer niet !
10-11-2009, 16:34 door
spatieman
ik mis de windows IE lekken, maar die zullen ze nu nog aan het tellen zijn neem ik aan..
10-11-2009, 17:22 door
Bitwiper
Als ik met regscanner (zie http://www.nirsoft.net/utils/regscanner.html) onder HKEY_LOCAL_MACHINE zoek naar "Compatibility Flags" (zonder de aanhalingstekens) vanaf 1-1-2009 dan vind ik 92 kill-bitted ActiveX objecten, waarvan waarschijnlijk de meesten (zo niet allen) remote code execution vulns betreffen.
Lang niet al die modules zijn door Microsoft gemaakt (en dus ook niet standaard aanwezig), maar met een beetje social engineering, zeker in het geval van digitaal ondertekende plugins, zijn veel gebruikers wel te overreden om zo'n "trusted" maar lekke plugin aan hun browser toe te voegen. Daarom is het discutabel of je Microsoft dit moet aanrekenen, aan de andere kant hebben zij deze brakke technologie (tegen het advies van velen) geïmplementeerd en in stand gehouden, en MSIE is de enige browser waarin deze problemen spelen.
Zou Cenzic deze lekken, die alleen op MSIE van toepassing zijn, in hun onderzoek hebben meegenomen?
Lang niet al die modules zijn door Microsoft gemaakt (en dus ook niet standaard aanwezig), maar met een beetje social engineering, zeker in het geval van digitaal ondertekende plugins, zijn veel gebruikers wel te overreden om zo'n "trusted" maar lekke plugin aan hun browser toe te voegen. Daarom is het discutabel of je Microsoft dit moet aanrekenen, aan de andere kant hebben zij deze brakke technologie (tegen het advies van velen) geïmplementeerd en in stand gehouden, en MSIE is de enige browser waarin deze problemen spelen.
Zou Cenzic deze lekken, die alleen op MSIE van toepassing zijn, in hun onderzoek hebben meegenomen?
Hoeveel lekken staan er nog bij IE/safari open waarvan wij niets weten, dat is de grote vraag!
Door Anoniem: Maar van FireFox zijn de bekende lekken nu gedicht, IE8 heeft al heel lang een bekend lek...
O ja? Vertel eens? Of lul je maar wat uit je lek?Door spatieman: ik mis de windows IE lekken, maar die zullen ze nu nog aan het tellen zijn neem ik aan..
Lees het verhaal nog eens, dan snap jij waarom ik vind dat je slap staat te lullen. Maar we weten nou wel dat jij alles haat waar Microsoft op staat. De waarheid is niet van belang, toch?Het gaat om de 10 van de meest ernstige lekken in willekeurige volgorde. De lekken die zijn geteld zegt idd niet veel. Maar toch leuk om te horen dat IE het niet zo slecht doet in ieder geval. Anders had Adobe er ook in moeten staan die doen het ook goed qua beveiliging.
10-11-2009, 20:34 door
cyberpunk
Firefox had in de eerste helft van dit jaar de meeste beveiligingslekken van alle browers, maar Apple's Safari nadert snel. Volgens webbeveiliger Cenzic waren browserlekken goed voor 8% van alle weblekken. Mozilla's Firefox is met 44% de meest kwetsbare browser
Ook als je NoScript geïnstalleerd hebt? Ik denk het niet...
Door cyberpunk: Ook als je NoScript geïnstalleerd hebt? Ik denk het niet...
Als je no-script draait is je browser opeens niet lek? Niet alle problemen ontstaan door Java of Flash.ja, alle browsers zijn onveilig, moet je nou geloven of niet? op de ene site is het internet explorer en op de andere weer firefox... Allemaal BS en het interesseert me ook niet...
10-11-2009, 23:20 door
[Account Verwijderd]
[Verwijderd]
Door spatieman: ik mis de windows IE lekken, maar die zullen ze nu nog aan het tellen zijn neem ik aan..
Haha, volkomen met je eensDe hoeveelheid lekken zou niet veel uit moeten maken. Deze vragen spelen ook mee:
Hoeveel van deze lekken zijn al gedicht?
Hoe snel zijn deze gedicht? (Moet je per-se wachten tot patch-tuesday voordat je de patch krijgt?)
Hoeveel procent van de gebruikers van deze browsers heeft hun browser recent gepatcht?
Lijkt me ongeveer de zelfde lekken hebben. :)
Hoeveel van deze lekken zijn al gedicht?
Hoe snel zijn deze gedicht? (Moet je per-se wachten tot patch-tuesday voordat je de patch krijgt?)
Hoeveel procent van de gebruikers van deze browsers heeft hun browser recent gepatcht?
Door Jos Visser: Je moet natuurlijk ook gewoon Chrome gebruiken!
Chrome draait op de zelfde engine als Safari. (webkit) =DLijkt me ongeveer de zelfde lekken hebben. :)
11-11-2009, 11:32 door
[Account Verwijderd]
[Verwijderd]
De MS propaganda stoet op volle toeren: alleen lekken in andere browsers dan IE ? Yeah right ! Overigens hebben we aan dit soort statistieken natuurlijk helemaal niets.
Met betrekking tot de lekken in browsers is alleen het antwoord op de volgende vragen relevant:
1. Om welke kwetsbaarheden/ lekken gaat het en hoe gevaarlijk zijn die ?
2. Zijn die lekken door de browserontwikkelaars gedicht, en zo ja, op welke wijze ?
Al het overige is ruis en/of stemmingmakerij.
Met betrekking tot de lekken in browsers is alleen het antwoord op de volgende vragen relevant:
1. Om welke kwetsbaarheden/ lekken gaat het en hoe gevaarlijk zijn die ?
2. Zijn die lekken door de browserontwikkelaars gedicht, en zo ja, op welke wijze ?
Al het overige is ruis en/of stemmingmakerij.
Door Hugo:
Het is namelijk: Als 2 browsers elk 10 lekken HEEFT... "elk" is enkelvoud.
Helaas is 'elk' niet het onderwerp van de zin. Het onderwerp is namelijk '2 browsers' en dat is toch echt meervoud.Door Syzygy: Als 2 Browers elk 10 lekken hebben...
Zo talenwonder. Kan je wel leuk wat gillen over mijn tikfout. Maar zelf maak je een echte taalfout.Het is namelijk: Als 2 browsers elk 10 lekken HEEFT... "elk" is enkelvoud.
Het Cenzic-rapport heeft het alleen maar over percentages fouten, aantallen dus, zonder enig onderscheid naar de ernst en exploitability. Het rapport maakt niet duidelijk wat men precies geteld heeft. Dus alleen al daarom heeft het rapport geen waarde. Men vertelt niet hoelang lekken ongepatcht blijven. Men vertelt ook niet dat ActiveX zelfs zonder software-fouten een browser/computer onveilig maakt. En veel fouten in Firefox hebben te maken met Javascript. Door voorzichtig te zijn met Javascript (NoScript bijvoorbeeld), kan je dus een hoop ellende voorkomen.
Een slecht rapport dat alleen maar dient om de aandacht even op Cenzic te vestigen.
Door Syzygy:
Juist, vandaar mijn "Oeps"
Morgen ontdekken ze 15 ernstige lekken in IE8 en dan is de mening weet (WEER) geheel anders.
Dan kan dit item zo overgenomen worden alleen de getalletjes even husselen.
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
Juist, vandaar mijn "Oeps"
Morgen ontdekken ze 15 ernstige lekken in IE8 en dan is de mening weet (WEER) geheel anders.
Dan kan dit item zo overgenomen worden alleen de getalletjes even husselen.
Syzygy, als je een ander wijst op spelvouten wees dan zelf ook foutloos. Sinds het gesprek over het ontdekken van kinderporno op iemands harde schijf begin ik een beetje een beeld te krijgen dat je jezelf de oppermachtige allesweter vindt die voor rechter wil spelen. Doe aub niet zo kinderachtig.....
Het Orakel
15-11-2009, 11:01 door
[Account Verwijderd]
[Verwijderd]
Door Hugo:
Door Anoniem: Helaas is 'elk' niet het onderwerp van de zin. Het onderwerp is namelijk '2 browsers' en dat is toch echt meervoud.
Leuk geprobeerd, maar niet juist. En nu ben ik klaar met deze talendiscussie.Ik niet: FF is namelijk 'het lekst' en niet 'de meeste lekke'.
Redactie had last van Engelse ziekte denk ik....
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
