‘OS X en IE hadden meeste lekken in 2014’

27 reacties

Niet in Windows XP, niet in Flash en zelfs niet in Java. De meest beveiliginslekken werden vorig jaar gevonden in Internet Explorer en OS X. Dat blijkt uit cijfers van de Amerikaanse National Vulnerability Database (NVD) die door beveiligingsbedrijf GFI werden geanalyseerd.

Internet Explorer was met 242 gevonden lekken kampioen, op een twijfelachtige tweede plaats gevolgd door OS X met 147 beveiligings­lekken. Ook in iOS werden veel lekken gevonden, namelijk 127. Windows kwam er met een gemiddeld aantal van 38 lekken beter vanaf.

Het grootste deel (80%) van de lekken bevond zich in applicaties en niet in besturingssystemen, die waren verantwoordelijk voor slechts 13% van de lekken. De overige 4% was in hardware aanwezig.

Applicaties: Weinig lekken in Safari

Als specifiek naar apps alleen gekeken wordt, eindigt Microsoft wel bovenaan. In Internet Explorer werden 242 lekken gevonden, waarvan 220 kritiek waren. Google Chrome, Firefox en Flash volgen met enige afstand. Opvallend is dat er weinig lekken in Safari zijn gespot.

Applicaties met meeste lekken in 2014.

Besturingssystemen: Linux als verrassende derde

Bij de besturingssystemen steekt Apple er bovenuit. In Mac OS X werden 147 lekken ontdekt, gevolgd door iOS met 127. Opvallend is dat in Linux meer lekken werden ontdekt dan in Windows. Ook het aantal kritieke ligt bij OS X en iOS hoger dan bij Windows.

Besturingssystemen met meeste lekken in 2014.

Zijn OS X en iOS dan zo onveilig?

Allereerst gaat het niet alleen om het aantal gevonden lekken, maar ook om het aantal opgeloste beveiligingsproblemen. Helaas bieden de cijfers geen inzicht in de oplossingsratio. Bovendien zijn versie van Windows gesplitst en wordt het niet duidelijk naar welke versie van OS X gekeken is. Alleen OS X Yosemite of zijn een aantal versies bij elkaar opgeteld?

Zowel iOS als OS X hebben uitstekende sandboxing die bij misbruik van een lek je persoonlijke gegevens nog steeds beschermt. De kans dat je getroffen wordt door een lek in Chrome of Flash is vele malen groter dan dat een lek in OS X misbruikt wordt. Toch is er voor Apple wel degelijk werk aan de winkel.

Via: Security.nl / Tipgever: Max

Reacties

27 reacties
  • Profielfoto
    NielsDam

    En door wie wordt deze onderzoeker gesponsord, juist, Microsoft…

  • Profielfoto
    Zakske

    En door wie wordt deze onderzoeker gesponsord, juist, Microsoft…

    Dan is het juist reuze aardig van hem dat hij de meeste lekken in Internet Explorer van Microsoft vond, toch?

  • Profielfoto
    Buzz

    Opvallend is dat bij Windows alle versies worden uitgesplitst, en dat er Mac OS X wordt geschreven terwijl het woordje “Mac” tegenwoordig uit de naam van het OS wordt weggelaten. Hebben de onderzoekers naar een oude, naar de nieuwste of naar alle versies van (Mac) OS X bij elkaar gekeken?

  • Profielfoto
    Rickje

    Bovendien gaat het niet alleen om het aantal gevonden lekken, maar ook om het aantal opgeloste beveiligingsproblemen. Helaas bieden de cijfers inzicht in de oplossingsratio.

    Opgelost? Waar dan? Ik zie ze niet. En ik zie ook geen oplossingsratio….???

  • Profielfoto
    rolandpeelen

    Bij de besturingssystemen steekt Apple er bovenuit. In Mac OS X werden 147 lekken ontdekt, gevolgd door iOS met 127. Opvallend is dat in Linux meer lekken werden ontdekt dan in Windows. Ook het aantal kritieke ligt bij OS X en iOS hoger dan bij Windows.

    Android heeft ook een linux kernel. Dus dat is helemaal niet zo opvallend…

  • Profielfoto
    Rickje

    Wat Buzz_D zegt, tel eens alle lekken op van alle Windows versies en zet die dan af tegen Mac OS X. En neem dan bijv. 10.6 t/m 10.10 (dus 4 systemen). Dan komt daaruit gemiddeld 37 lekken per besturingssysteem van Apple. Wat niet onder doet voor de Windows systemen.

  • Profielfoto
    IOS dude

    En het fanboygehalte druipt er weer vanaf….

  • Profielfoto
    GrannySmith

    En door wie wordt deze onderzoeker gesponsord, juist, Microsoft…

    Waar lees je dat dan?

    De CVE database wordt onafhankelijk van wie dan ook bijgehouden door het National Institute of Standards in Technology (NIST), zeg maar de TNO van de USA maar dan niet geprivatiseerd.

    Gfi is een software developer van security producten.

    Waar is dan die link met Microsoft?

    Iemand beschuldigen betekent met de feiten komen, Niels.

  • Profielfoto
    GrannySmith

    Opvallend is dat bij Windows alle versies worden uitgesplitst, en dat er Mac OS X wordt geschreven terwijl het woordje “Mac” tegenwoordig uit de naam van het OS wordt weggelaten. Hebben de onderzoekers naar een oude, naar de nieuwste of naar alle versies van (Mac) OS X bij elkaar gekeken?

    Inderdaad niet zo handig van GfI, heb zelf wat overzichten geprobeerd te maken vanuit de CVE database van NIST maar die is ontzettend traag op dit moment.

    Overigens; optellen van de vulnerabilities in de diverse Windows versies is ook geen goed idee want er zitten natuurlijk veel dubbelingen in; zo zullen die 24 kwetsbaarheden in Windows 8 en de 24 in Windows 8.1 wel dezelfde zijn.

    Ik werk in de security sector en het is al langer bekend dat applicaties de grootste problemen veroorzaken en dat OSX en Linux zeker niet vrij van smetten zijn. Iedereen die dat ontkent vanuit fanboy gedrag of anderszins doet aan struisvogelpolitiek. Confucius zei al; “wie niet bang is wordt door het gevaar verrast”. Neem dus als OSX gebruiker security serieus.

    En qua patch management kunnen Apple en Adobe van Microsoft nog veel, heel veel leren. Heb een tijdje rond gelopen bij Microsoft en zag daar een keer een poster met de tekst: “Who needs Microsoft security when you use Adobe products?”. Erg waar.

  • Profielfoto
    donut

    Granny smith
    …Heb een tijdje rond gelopen bij Microsoft en zag daar een keer een poster met de tekst: “Who needs Microsoft security when you use Adobe products?”. Erg waar.

    Maar ze waren bij Microsoft vergeten te kijken naar de poster “Who needs Adobe when we have Internet Explorer…”

    Hopelijk is de nieuwe versie van 10 veiliger… en beter…

    Verder is het duidelijk dat Apple’s besturings systemen zeer lek zijn. Maar als je alles dichttimmert kan je niks meer doen – het blijft een lastig compromis…

    Overigens het grootste probleem zijn de misdaden van de NSA en consorten. Als zij alles kunnen onderscheppen en virussen ontwikkelen en verspreiden-dan leidt dat vanzelf tot misbruik- waarvan het controleren wat je partner doet het minst kwade is.
    Heb ook begrepen dat met de zogenaamde security systemen in de intel processors het mogelijk is met behulp van 3G je computer te besturen/blokkeren…- cyber security is een illusie.

  • Profielfoto
    maconly

    Maar alles is wel mooi dun.

    Al 20 jaar Apple gebruiker maar begin mezelf steeds meer te ergeren aan de software.

  • Profielfoto
    Fietsbel

    Ander interessant nieuws: er is in 2014 meer regen gevallen in de Middellandse Zee dan in in het IJsselmeer.

  • Profielfoto
    Facundo

    Wéér een achterhaalde fanboy-bubble doorgeprikt.:oops:

  • Profielfoto
    fredmatrack

    Ook hier vraag ik me af of die jaarlijkse release niet te veel druk legt op de ontwikkelaars waardoor ze minder aandacht besteden aan de kwaliteit van hun code en op die manier dus sneller fouten maken die lekken tot gevolg hebben.

    Ik blijf dus hopen dat ze bij Apple afstappen van een jaarlijkse release en terug meer tijd en aandacht besteden aan stabiliteit en veiligheid.

  • Profielfoto
    iep

    De CVE database wordt onafhankelijk van wie dan ook bijgehouden door het National Institute of Standards in Technology (NIST), zeg maar de TNO van de USA maar dan niet geprivatiseerd.

    Er zijn diverse partijen die naar security problemen zoeken en die ook rapporteren. Het grote probleem was dat iedereen zijn eigen meldingssysteem hanteerde. Daarom hebben ze het CVE systeem op poten gezet: een universeel systeem met codes waar iedereen gebruik van maakt zodat iedereen het ook over hetzelfde heeft. Meer dan dat is het niet; dicht er dus ook niet al teveel aan toe.

    De CVE database wordt bijgehouden door MITRE en niet door NIST. De verwarring is begrijpbaar aangezien MITRE de overkoepelende organisatie is van een aantal partijen waaronder NIST.

    Meer info over CVE op de officiële site: https://cve.mitre.org

    On topic: Het gaat bij security problemen helemaal niet of iets wel/geen security probleem is (dat is namelijk al vastgesteld; iets wat geen security probleem is kun je niet zo noemen) maar om het risico wat eraan vast zit ofwel hoe groot het probleem is en hoe snel zo’n probleem opgelost wordt. Helaas is er geen enkele lijst met security problemen die deze 2 zaken meeneemt waardoor ze dan ook allemaal waardeloos zijn. Je zult er zelf waarde aan moeten gaan toekennen door er een risicoanalyse over te laten gaan (welke problemen zijn op jouw omgeving van toepassing, hoe groot is de impact, wat is de ernst) en te kijken naar hoe snel de problemen zijn opgelost.

  • Profielfoto
    Imade

    En door wie wordt deze onderzoeker gesponsord, juist, Microsoft…

    Wil niet zeuren, maar Apple laat gigantisch veel steken vallen op security gebied.
    Apple moet de onderstaande dingen/stappen uitvoeren om haar producten veilig te houden;
    1) Maandelijkse updates
    2) Melden hoelang OS X versie wordt ondersteund.

    Microsoft doet dat wel en neemt dus zijn verantwoordelijkheid, kan ik van Apple NIET zeggen.

  • Profielfoto
    IcyDragon68

    Boeie. Op naar OS X 10.11 en iOS 9! (Stiekeme referentie naar een vorige OMT artikel:))

  • Profielfoto
    zepkleiker

    En door wie wordt deze onderzoeker gesponsord, juist, Microsoft…

    Ik was benieuwd na het lezen van dit artikel hoe lang het zou duren voordat ik een bagatelliserende reactie tegen zou komen. Nou, het was dus al meteen in de eerste reactie raak! Bedankt, NielsDam!

  • Profielfoto
    P5ycH0

    Opgeteld heeft Windblows dus 248 lekken. Ruim 100 meer dan OSX.

  • Profielfoto
    thereal

    voor een tent die zo belachelijk veel winst genereert zou je op zijn minst betere software producten mogen verwachten. Werk nog nu nog een mac maar als de software zo’n zooitje wordt dan neemt de kans dat ik weer switch snel toe. Inmiddels al weer twee jaar op android voor telefoon en wil niet meer terug naar een iphone. Mooi product maar de telefoon wordt door Apple bewust steeds trager gemaakt door ze vol te proppen met software zodat je snel weer begint te verlangen naar een nieuw product.

  • Profielfoto
    appievanr

    Ooh jeetje! Heb gelijk maar even maatregelen getroffen.

  • Profielfoto
    MacFundamentalist.nl

    OS X veel lekken, maar amper geëxploiteerde lekken. Dus ik voel me nog steeds veilig met mijn Mac, ja.

  • Profielfoto
    IPhonePeter

    Oke duidelijk… Ik heb nergens last van daarom gebruik ik ook voor de zekerheid een free antivirus avast.

  • Profielfoto
    Dutch_Muscle

    Verbaasd mij allerminst. Apple is eigenlijk sinds 2006 niet meer in staat fatsoenlijke software op te leveren. Elk jaar beginnen ze al aan nieuwe versies terwijl de meeste problemen uit voorgaande versies niet eens meer gepatcht worden. Laat staan de beveiligingsproblemen…

    Dat geldt voor zowel de OS’sen als de applicaties.

  • Profielfoto
    Dutch_Muscle

    @ Raymon: Je moet eens ophouden met dingen beweren waar jij als snotneus totaal geen verstand van hebt. OS X is geen sandbox systeem en is dat ook nooit geweest. Je beweert dit in het artikel wel.
    Je beweert overigens ook dat je persoonlijke gegevens goed beschermd zijn en dat is je reinste bullshit.

    Ik leg in 20 seconden tijd jouw Macje op zijn rug, en kan bij al jouw gegevens.

    Houd je liever bezig met zaken waar jij enige dossier kennis van hebt opgebouwd, knul.

  • Profielfoto
    MacAanZee

    @Dutch Muscle: Jij hebt iets te vaak de sportschool bezocht. Dat zien we al aan je nickname, maar het is nu ook overduidelijk merkbaar in je agressieve taalgebruik. Als je het met iemand niet eens bent of meent dat hij iets niet goed beschrijft, kan je dat ook op een gewone manier zeggen. Dat hoeft niet zo denigrerend.

    Ga maar beter bij je muscle vriendjes mensen op hun rug leggen, in plaats van Macjes van OMT redactieleden.

    Wat deze testuitstlag betreft: daar kunnen we erg weinig mee.
    De echte fanboy zal zeggen: ze proberen Apple weer te bashen.
    De realist zal zeggen: reden tot verbetering.
    Maar zoals hier al gezegd: bij Apple wordt alles op een hoop geveegd, terwijl bij Windhoos elk systeem apart staat. Zegt dus niets.

    En op de beginnende gevoelens van wanhoop of zelfs boosheid van anderen zou ik zeggen: wacht even rustig af. Op de belangrijkste vraag is nog helemaal geen antwoord gegeven:
    “wat zijn de risico’s (geweest)”? Ik heb zelf niets gemerkt.

  • Profielfoto
    lordoftheflatbush

    Mee eens. De Apple software is een zooitje geworden de laatste jaren. Waar is de focus gebleven? Ik merk helemaal niet dat kwaliteit bij Apple voorop staat.
    Vorige maand Windows 10 met VMWare geinstalleerd op m’n Macbook Pro. Ziet er erg goed uit. Zelfs de installatie ging zeer snel (was bij Windows 7 wel anders).
    Microsoft is de laatste tijd goed bezig vindt ik. OneNote gebruik ik nu dagelijks (met apple pencil). IOS is de beperkende factor om mijn iPad Pro als laptop vervanger te gaan gebruiken. Apple reageert te traag en zijn te eigenwijs (waar is het filesysteem op de iPad?).
    Zit nog 100% op Apple, maar niet zeker of dit zo gaat blijven als ze zo doorgaan.