Microsoft doorstaat 3.000 lekken in 25 jaar
De afgelopen 25 jaar werden er in de software van Microsoft 3.000 beveiligingslekken ontdekt, waarmee de reus uit Redmond de absolute koploper is. Apple volgt op afstand met zo'n 2.000 lekken, zo blijkt uit cijfers van SourceFire. Onlangs passeerden de cijfers van het Amerikaanse beveiligingsbedrijf al de revue, maar het rapport is nu voor iedereen te downloaden.
SourceFire analyseerde alle lekken die in de Common Vulnerabilities en Exposures (CVE) database werden verzameld. Hoewel Microsoft de meeste lekken telt, daalt het aantal gevonden kwetsbaarheden sinds 2010, terwijl die van Apple en Oracle juist stijgen.
Het was vorig jaar voor de eerste keer sinds 1998 dat Microsoft niet de leverancier met de meeste lekken was. Die dubieuze titel ging naar Oracle, dat in 2010 Java overnam, inclusief alle beveiligingslekken.
Microsoft publiceerde echter 13% van alle patches nadat de CVE van het lek al bekend was, wat betekent dat de informatie publiekelijk toegankelijk was en mogelijk al misbruikt werd voordat gebruikers een update konden downloaden, wat de lekken als 'zero-days' classificeert.
Software
Van alle geanalyseerde producten blijkt dat de Linux-kernel met 937 de meeste gaten telt. Binnen Linux blijkt dat Red Hat met 592 ontdekte lekken de grootste 'bokkenmaker' is. Suse (211), Gentoo (157) en Ubuntu (81) hebben de zaakjes beter voor elkaar.
Wordt er naar 'kritieke' lekken gekeken, dan staat Firefox met 174 lekken bovenaan, gevolgd door Thunderbird (127) en Seamonkey (120). Alle drie programma's die door Mozilla worden ontwikkeld. Wel moet worden gezegd dat deze programma's een deel van de code delen, waardoor een lek in Firefox vaak ook in Thunderbird en Seamonkey aanwezig is.
"Firefox heeft in de onderzochte periode veel meer ernstige lekken dan Internet Explorer, wat de algemene opvatting dat IE de minst veilige browser is in twijfel trekt", zegt Yves Younan van SourceFire.
Deze stats zeggen mij dat Apple een groter probleem heeft dan Microsoft.
Bij Microsoft weet de gemiddelde gebruiker dat ze iets moeten doen aan veiligheid.
Bij Apple is de gemiddelde gebruiker er juist van overtuigt dat er geen lekken in zitten. Dat is notabene dé nummer 1 reden om op Apple over te stappen.
Dat Microsoft's software mogelijk beter onderzocht is dan andere software fabrikanten.
Het is hetzelfde als een virus filter op een mail content scanner: je kunt er mooie grafieken uithalen, maar die hebben weinig inhoudelijke waarde. Waar het om gaat is wat er niet gedetecteerd is.
Voor zover ik weer is om en nabij 80% van de thuis-computers wereldwijd voorzien van windows.
Er blijft dus 20% over Linux, Mac, enz.
Dus als je dat meerekent is windows dus veiliger ?
Je mag mijn berekening in twijfel trekken maar 3000 tegen 2000
zegt mij dat windows die 80% van de markt omvat 60% vatbaar is
terwijl de anderen die 20% van de markt bezitten 30% vatbaar zijn.
Het gaat om kwetsbaarheden, niet om hoe vaak deze worden gebruikt door indringers. Vaak wordt kwetsbaarheid, dreiging en risico met elkaar verward.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
