image

Mac OS X en IE hadden meeste lekken in 2014

vrijdag 20 februari 2015, 10:30 door Redactie, 12 reacties

Sinds 2011 is het aantal ontdekte kwetsbaarheden in applicaties, besturingssystemen en hardware flink toegenomen, waarbij vorig jaar Mac OS X en Internet Explorer de software met de meeste lekken waren. Dat blijkt uit cijfers van de National Vulnerability Database (NVD) die door GFI werden geanalyseerd.

Vorig jaar werden er 7038 nieuwe kwetsbaarheden aan de NVD-database toegevoegd, waarvan 24% als "high severity" werd omschreven. 80% van de lekken werd in "third party-applicaties" ontdekt, zoals Java en Flash Player. Dertien procent kwam op rekening van besturingssystemen en hardware-apparaten waren verantwoordelijk voor 4%.

Wordt er specifiek naar besturingssystemen gekeken, dan steekt Apple er bovenuit. In Mac OS X werden 147 lekken ontdekt, gevolgd door iOS met 127. De Linuxkernel eindigt met 119 kwetsbaarheden op de derde plaats. Veel minder dan het aantal kwetsbaarheden in Windows, dat gemiddeld op 35 uitkwam. Ook het aantal "high serverity"-lekken ligt bij Mac OS X en iOS hoger, namelijk 64 en 32 tegenover gemiddeld 24 bij Windows.

Bij de applicaties eindigt Microsoft wel op de eerste plek. In Internet Explorer werden namelijk 242 lekken gevonden, waarvan er 220 in de hoogste categorie vielen. Google Chrome volgt op een tweede plaats met 124 lekken, waarvan 86 als high severity werden geclassificeerd. Firefox maakt met 117 lekken, waarvan 57 high severity, de Top 3 compleet.

Volgens GFI is het niet verrassend dat er zoveel kwetsbaarheden in browsers worden ontdekt, omdat ze een populaire gateway zijn om toegang tot servers te krijgen en malware te verspreiden. Systeembeheerders die hun systemen veilig willen houden krijgen dan ook het advies zich te richten op het besturingssysteem, de browser, Java en gratis producten van Adobe.

Image

Reacties (12)
20-02-2015, 11:15 door potshot
' It is interesting that although Microsoft operating systems still have a considerable number of vulnerabilities, they are no longer in the top 3. Apple with OS X and iOS is at the top, followed by Linux kernel.

2014 was a tough year for Linux users from a security point of view, coupled with the fact that some of the most important security issues of the year were reported for applications that usually run on Linux systems. Heartbleed, for example, is a critical security vulnerability detected in OpenSSL while Shellshock is a vulnerability that affects GNU Bash.'

toch wel lache..al is de linux arrogantie nog zo groot ,de realiteit achterhaald haar wel.
20 jaar lang durven roepen dat iedereen achterlijk is dat men geen linux gebruikt en nu blijkt dat ze zelf nog kwetsbaarder zijn dan datgene waar ze op kotsen..
maar gelukkig zullen deze cijfers weer helemaal worden tegengesproken met de 'waarheid' zodat alles weer pais en vree is.
20-02-2015, 11:28 door Anoniem
Door potshot: ' It is interesting that although Microsoft operating systems still have a considerable number of vulnerabilities, they are no longer in the top 3. Apple with OS X and iOS is at the top, followed by Linux kernel.

2014 was a tough year for Linux users from a security point of view, coupled with the fact that some of the most important security issues of the year were reported for applications that usually run on Linux systems. Heartbleed, for example, is a critical security vulnerability detected in OpenSSL while Shellshock is a vulnerability that affects GNU Bash.'

toch wel lache..al is de linux arrogantie nog zo groot ,de realiteit achterhaald haar wel.
20 jaar lang durven roepen dat iedereen achterlijk is dat men geen linux gebruikt en nu blijkt dat ze zelf nog kwetsbaarder zijn dan datgene waar ze op kotsen..
maar gelukkig zullen deze cijfers weer helemaal worden tegengesproken met de 'waarheid' zodat alles weer pais en vree is.
20-02-2015, 11:31 door Anoniem
Inderdaad zeer veel Kudo's voor Microsoft wat ze allemaal aan OS security hebben gedaan. Blijf wel staan dat ik met een gerust hart met een ongepatcht Linux of OSX systeem mijn day to day business op internet blijf doen. Zonder daar echt risico te lopen op drive-by's of per ongeluk een .exe aanklikken. Windows is nog steeds HET target voor de bad guys. OSX en Linux clients niet. PUNT.
20-02-2015, 11:38 door Anoniem
Toch knap dat Microsoft met Windows Vista, 7, 8, 8.1 en 10 welke eigenlijk allemaal onderhuids hetzelfde is, nog steeds zoveel lekken heeft... Je zou kunnen denken dat die software nu toch wel wat veiliger had moeten zijn... Of het was in het begin al erge crap natuurlijk.

Ook knap dat Linux waar iedereen (en dus ook NSA en vriendjes) in kan kijken nog maar zo weinig lekken gevonden worden.
Schijnbaar is er dus goede software geschreven want van reviewen heb ik niet veel vertrouwen.
20-02-2015, 15:49 door Anoniem
'Harde' Cijfers ophoesten

Hoewel elk lek er een teveel is wordt er wel wat essentiële informatie weggelaten.
Namelijk dat in 2014 door Apple twee nieuwe besturingssystemen werden gelanceerd!
OS X 10.10. Yosemite en iOs 8.

Bij de introductie van nieuwe besturingssystemen van Apple wordt er in het begin nog aardig aan bijgesteld en gesleuteld.
OS X 10.10 zit vanaf de release in Oktober al op 10.10.2, in die versies is dus van alles en nog wat verholpen en gepatcht.
Dat heeft vast 'geholpen' bij de deze koude telling/tabel vergelijking..

Voor de balans, volgend jaar (of het jaar erna) nog een keer kijken wanneer anderen ook nieuwe besturingssystemen lanceren?

In ieder geval zijn de lekken gepatcht, dat is ook wat waard.
20-02-2015, 17:01 door Anoniem
Door potshot:toch wel lache..al is de linux arrogantie nog zo groot ,de realiteit achterhaald haar wel.
20 jaar lang durven roepen dat iedereen achterlijk is dat men geen linux gebruikt en nu blijkt dat ze zelf nog kwetsbaarder zijn dan datgene waar ze op kotsen..
Dan luister je kennelijk nogal selectief naar de hardste schreeuwers. Dat zijn over het algemeen de mensen die inhoudelijk het minst toevoegen.
maar gelukkig zullen deze cijfers weer helemaal worden tegengesproken met de 'waarheid' zodat alles weer pais en vree is.
Er valt wel iets over te zeggen als je wat verder kijkt dan je neus lang is. Kijk bijvoorbeeld eens naar de ernst van de kwetsbaarheden, de kolommen HIGH, MEDIUM en LOW. Dan valt op:
- HIGH: De Linux-kernel en alle Windows-versies zitten ongeveer op hetzelfde niveau.
- MEDIUM: Linux zit aan de top met ongeveer 6 keer het aantal vulnerabilities als de meeste Windows-versies. Bij de meeste Windows-versies zijn de aantallen de helft van de HIGH-kolom, bij twee versies lager, terwijl het bij Linux en Apple-OS'en juist de kolom met de hoogste aantallen is.
- LOW: Bij Windows staat alles op 0(!).

Het lijkt me behoorlijk duidelijk dat bij Windows de kans dat een lek in de statistieken verschijnt sterk afneemt naarmate het lek minder ernstig is. Dat hoeft helemaal niet erg te zijn, maar het betekent wel dat de cijfers over Windows vertekend zijn, en dat ook de totalen die hier vergeleken worden daardoor beïnvloed worden. De volledigste kolom is die met de ernstigste lekken, en Linux bevindt zich met 24 lekken in die categorie midden tussen de Windows-versies die 22-26 ernstige lekken hebben gehad vorig jaar.

Ik weet overigens niet of dat veel zegt. Bij Linux is de kernel duidelijk een afzonderlijk produkt dat ook zo wordt benoemd. Wat is Windows hier precies? Alleen de kernel? De kernel met nog allerlei zaken eromheen die bij Linux niet worden meegeteld? Als dat zo is worden hier appels met peren vergeleken.
20-02-2015, 17:17 door Anoniem
Door Anoniem: Inderdaad zeer veel Kudo's voor Microsoft wat ze allemaal aan OS security hebben gedaan. Blijf wel staan dat ik met een gerust hart met een ongepatcht Linux of OSX systeem mijn day to day business op internet blijf doen. Zonder daar echt risico te lopen op drive-by's of per ongeluk een .exe aanklikken. Windows is nog steeds HET target voor de bad guys. OSX en Linux clients niet. PUNT.

Ik was het met je eens totdat je probeerde een discussie dicht te gooien door je eigen mening te ventileren en te eindigen met all-caps "PUNT." Slechte gewoonte, niet meer doen.
20-02-2015, 17:44 door Anoniem
"127 in iOS.", opvallend veel.
Nu verkoopt de Albert Heijn actief de iPhone 4, die niet te upgraden is naar de laatste versie.
Is die bekend lek?
20-02-2015, 18:09 door Anoniem
Zo'n uitspraak "OSX en Linux clients niet." vraagt om een reactie omdat het ontbreekt aan realiteitszin.
Als een webserver gehackt wordt draait daa zeer waarschijnlijk de LAMP stack. Het is dit deel wat zo vaak het nieuws haalt als gehacked.

Windows komt minder voor op servers dan op desktops. Wat je ziet is een haasje over tussen de systemen omdat die elkaar niet beschermen. Zwarte pieten lijkt een leuk spel te zijn. Je kunt ook voor improvement of monopoly gaan.

Kijken we naar IOT (inclusief routers) dan heb je chaos van niet beveiligde open systemen (als het nu niet zo is, dan binnnekort wel). Die aantallen gaan een desktop ver te boven.
20-02-2015, 20:23 door Anoniem
Sinds wanneer is het niet vinden c.q. patchen van lekken een teken dat je software veilig is?

In weerwil van wat heethoofd potshot schrijft, zie ik nog liever 10 gepatche lekken in OSX en/of Linux dan 0 in Windows.
20-02-2015, 23:37 door Anoniem
Door Anoniem: ... Ik weet overigens niet of dat veel zegt. Bij Linux is de kernel duidelijk een afzonderlijk produkt dat ook zo wordt benoemd. Wat is Windows hier precies? Alleen de kernel? De kernel met nog allerlei zaken eromheen die bij Linux niet worden meegeteld? Als dat zo is worden hier appels met peren vergeleken.

Grondige analyse van de data. Behoorlijk onverwacht in de commentaren op Security.nl, maar zeer geapprecieerd.
23-02-2015, 15:34 door Anoniem
Tsja, dit is eigenlijk appels met keien vergelijken...Er klopt feitelijk zeer weinig van. Leuke getalletjes maar meer niet. Zo wordt bij OSX altijd zowel OS als Safari als iTunes als tientallen kleinere apps en daemons gepatched onder de noemer "OSX update". Als je in de browser-tabel kijkt zie je daar dus ook geen Safari staan ondanks dat dit een zeer veel gebruikte browser is op OSX (nl de default browser).

Als je dan OS en browser bij elkaar optelt (om het een beetje gelijker te trekken), komt OSX op 147 kwetsbaarheden uit, Windows op 288 (Win7+IE), Linux op 236 (Linux + Firefox).

Al met al, geen slechte scores: Het betekend dat ze hun patchbeleid serieus nemen en hard bezig zijn fixes uit te rollen. Maar om te zeggen of OS A beter is dat OS B, dat kan je echt niet: dat is echt afhankelijk van het aantal 0-days, het aantal unpatched vulns, vatbaarheid voor malware, virii, etc, etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.