Mac OS X en IE hadden meeste lekken in 2014
Sinds 2011 is het aantal ontdekte kwetsbaarheden in applicaties, besturingssystemen en hardware flink toegenomen, waarbij vorig jaar Mac OS X en Internet Explorer de software met de meeste lekken waren. Dat blijkt uit cijfers van de National Vulnerability Database (NVD) die door GFI werden geanalyseerd.
Vorig jaar werden er 7038 nieuwe kwetsbaarheden aan de NVD-database toegevoegd, waarvan 24% als "high severity" werd omschreven. 80% van de lekken werd in "third party-applicaties" ontdekt, zoals Java en Flash Player. Dertien procent kwam op rekening van besturingssystemen en hardware-apparaten waren verantwoordelijk voor 4%.
Wordt er specifiek naar besturingssystemen gekeken, dan steekt Apple er bovenuit. In Mac OS X werden 147 lekken ontdekt, gevolgd door iOS met 127. De Linuxkernel eindigt met 119 kwetsbaarheden op de derde plaats. Veel minder dan het aantal kwetsbaarheden in Windows, dat gemiddeld op 35 uitkwam. Ook het aantal "high serverity"-lekken ligt bij Mac OS X en iOS hoger, namelijk 64 en 32 tegenover gemiddeld 24 bij Windows.
Bij de applicaties eindigt Microsoft wel op de eerste plek. In Internet Explorer werden namelijk 242 lekken gevonden, waarvan er 220 in de hoogste categorie vielen. Google Chrome volgt op een tweede plaats met 124 lekken, waarvan 86 als high severity werden geclassificeerd. Firefox maakt met 117 lekken, waarvan 57 high severity, de Top 3 compleet.
Volgens GFI is het niet verrassend dat er zoveel kwetsbaarheden in browsers worden ontdekt, omdat ze een populaire gateway zijn om toegang tot servers te krijgen en malware te verspreiden. Systeembeheerders die hun systemen veilig willen houden krijgen dan ook het advies zich te richten op het besturingssysteem, de browser, Java en gratis producten van Adobe.
2014 was a tough year for Linux users from a security point of view, coupled with the fact that some of the most important security issues of the year were reported for applications that usually run on Linux systems. Heartbleed, for example, is a critical security vulnerability detected in OpenSSL while Shellshock is a vulnerability that affects GNU Bash.'
toch wel lache..al is de linux arrogantie nog zo groot ,de realiteit achterhaald haar wel.
20 jaar lang durven roepen dat iedereen achterlijk is dat men geen linux gebruikt en nu blijkt dat ze zelf nog kwetsbaarder zijn dan datgene waar ze op kotsen..
maar gelukkig zullen deze cijfers weer helemaal worden tegengesproken met de 'waarheid' zodat alles weer pais en vree is.
2014 was a tough year for Linux users from a security point of view, coupled with the fact that some of the most important security issues of the year were reported for applications that usually run on Linux systems. Heartbleed, for example, is a critical security vulnerability detected in OpenSSL while Shellshock is a vulnerability that affects GNU Bash.'
toch wel lache..al is de linux arrogantie nog zo groot ,de realiteit achterhaald haar wel.
20 jaar lang durven roepen dat iedereen achterlijk is dat men geen linux gebruikt en nu blijkt dat ze zelf nog kwetsbaarder zijn dan datgene waar ze op kotsen..
maar gelukkig zullen deze cijfers weer helemaal worden tegengesproken met de 'waarheid' zodat alles weer pais en vree is.
Ook knap dat Linux waar iedereen (en dus ook NSA en vriendjes) in kan kijken nog maar zo weinig lekken gevonden worden.
Schijnbaar is er dus goede software geschreven want van reviewen heb ik niet veel vertrouwen.
Hoewel elk lek er een teveel is wordt er wel wat essentiële informatie weggelaten.
Namelijk dat in 2014 door Apple twee nieuwe besturingssystemen werden gelanceerd!
OS X 10.10. Yosemite en iOs 8.
Bij de introductie van nieuwe besturingssystemen van Apple wordt er in het begin nog aardig aan bijgesteld en gesleuteld.
OS X 10.10 zit vanaf de release in Oktober al op 10.10.2, in die versies is dus van alles en nog wat verholpen en gepatcht.
Dat heeft vast 'geholpen' bij de deze koude telling/tabel vergelijking..
Voor de balans, volgend jaar (of het jaar erna) nog een keer kijken wanneer anderen ook nieuwe besturingssystemen lanceren?
In ieder geval zijn de lekken gepatcht, dat is ook wat waard.
20 jaar lang durven roepen dat iedereen achterlijk is dat men geen linux gebruikt en nu blijkt dat ze zelf nog kwetsbaarder zijn dan datgene waar ze op kotsen..
- HIGH: De Linux-kernel en alle Windows-versies zitten ongeveer op hetzelfde niveau.
- MEDIUM: Linux zit aan de top met ongeveer 6 keer het aantal vulnerabilities als de meeste Windows-versies. Bij de meeste Windows-versies zijn de aantallen de helft van de HIGH-kolom, bij twee versies lager, terwijl het bij Linux en Apple-OS'en juist de kolom met de hoogste aantallen is.
- LOW: Bij Windows staat alles op 0(!).
Het lijkt me behoorlijk duidelijk dat bij Windows de kans dat een lek in de statistieken verschijnt sterk afneemt naarmate het lek minder ernstig is. Dat hoeft helemaal niet erg te zijn, maar het betekent wel dat de cijfers over Windows vertekend zijn, en dat ook de totalen die hier vergeleken worden daardoor beïnvloed worden. De volledigste kolom is die met de ernstigste lekken, en Linux bevindt zich met 24 lekken in die categorie midden tussen de Windows-versies die 22-26 ernstige lekken hebben gehad vorig jaar.
Ik weet overigens niet of dat veel zegt. Bij Linux is de kernel duidelijk een afzonderlijk produkt dat ook zo wordt benoemd. Wat is Windows hier precies? Alleen de kernel? De kernel met nog allerlei zaken eromheen die bij Linux niet worden meegeteld? Als dat zo is worden hier appels met peren vergeleken.
Ik was het met je eens totdat je probeerde een discussie dicht te gooien door je eigen mening te ventileren en te eindigen met all-caps "PUNT." Slechte gewoonte, niet meer doen.
Nu verkoopt de Albert Heijn actief de iPhone 4, die niet te upgraden is naar de laatste versie.
Is die bekend lek?
Als een webserver gehackt wordt draait daa zeer waarschijnlijk de LAMP stack. Het is dit deel wat zo vaak het nieuws haalt als gehacked.
Windows komt minder voor op servers dan op desktops. Wat je ziet is een haasje over tussen de systemen omdat die elkaar niet beschermen. Zwarte pieten lijkt een leuk spel te zijn. Je kunt ook voor improvement of monopoly gaan.
Kijken we naar IOT (inclusief routers) dan heb je chaos van niet beveiligde open systemen (als het nu niet zo is, dan binnnekort wel). Die aantallen gaan een desktop ver te boven.
In weerwil van wat heethoofd potshot schrijft, zie ik nog liever 10 gepatche lekken in OSX en/of Linux dan 0 in Windows.
Grondige analyse van de data. Behoorlijk onverwacht in de commentaren op Security.nl, maar zeer geapprecieerd.
Als je dan OS en browser bij elkaar optelt (om het een beetje gelijker te trekken), komt OSX op 147 kwetsbaarheden uit, Windows op 288 (Win7+IE), Linux op 236 (Linux + Firefox).
Al met al, geen slechte scores: Het betekend dat ze hun patchbeleid serieus nemen en hard bezig zijn fixes uit te rollen. Maar om te zeggen of OS A beter is dat OS B, dat kan je echt niet: dat is echt afhankelijk van het aantal 0-days, het aantal unpatched vulns, vatbaarheid voor malware, virii, etc, etc.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
