Apple levert meest lekke software
De software van Apple bevat in vergelijking met andere leveranciers de meeste beveiligingslekken, zo staat in een rapport van het Deense Secunia. "Cupertino" verslaat daarmee Oracle, dat sinds 2005 de meeste gaten in de software had. Daarbij zijn ook de lekken in Sun's Java producten meegeteld. Microsoft is derde, voor HP en Adobe. Bij elkaar zijn de tien meest lekke ontwikkelaars goed voor 38% van alle gerapporteerde kwetsbaarheden.
Beveiligingsbedrijf Secunia onderzocht ook het aantal lekken waarmee doorsnee eindgebruikers te maken kregen. Van 2007 tot 2009 verdubbelde het aantal lekken op de desktop, van 220 naar 420. De meeste kwetsbaarheden bevinden zich niet in Windows, maar in applicaties van andere ontwikkelaars.
Microsoft
Cybercriminelen richten zich steeds vaker op deze applicaties, mede omdat gebruikers ze niet updaten of omdat dit lastig te doen is. Van de top 50 populaire programma's zijn er 26 van Microsoft, die eenvoudig zijn te updaten, aldus Secunia. De overige 24 programma's zijn afkomstig van 13 andere ontwikkelaars, wat betekent dat gebruikers 13 verschillende updaters moeten gebruiken.
"Vanuit het oogpunt van een aanvaller, levert het aanvallen van third-party programma's het meeste op en zal dit waarschijnlijk nog wel even zo blijven. Maar weinig leveranciers hebben de financiële middelen en expertise van Microsoft om continue het misbruik van hun software te bemoeilijken." Daarnaast beschikt de softwaregigant over een eenvoudig auto-update mechanisme.
Firefox
Wordt er gekeken naar third-party applicaties voor Windows, dan is Firefox de meest lekke software. De browser kreeg vorig jaar 96 lekken te verduren, die via 15 patches werden verholpen. Apple's Safari is met 84 lekken en negen patchmomenten tweede. In Google Chrome en Sun Java werden elk 70 kwetsbaarheden ontdekt. De lijst van lekke Microsoft software, wordt met 49 lekken door Internet Explorer aangevoerd. De Excel Viewer is met 37 kwetsbaarheden tweede, terwijl Excel met 30 lekken derde is.
Volgens Secunia is het risico van beveiligingslekken en ongepatchte systemen op twee manieren te voorkomen, namelijk bewustzijn bij gebruikers en een uniforme patch-oplossing.
Kijk naar de tijd van aanmelden bug, tot oplossing. Dan zal Adobe of Microsoft waarschijnlijk bovenaan de lijst staan. Het 'aantal' lekken ZEGT NIETS.
Alles is lek. Overal zitten fouten. De vraag is of en wanneer deze gevonden worden. En de volgende vraag is, hoe snel je leverancier dit voor je oplost.
Elke stuk software dat veelgebruikt word en voornamelijk, dat communiceert over het internet, of gebruikt word bij het afspelen/bekijken van dingen op het internet, is een high value target.
Firefox, Internet Explorer, Chrome, Opera, Flash, Java, Msn, Skype, en ik zou willen zeggen PDF, maar spijtig genoeg is het bij PDF's voornamelijk op Adobe Acrobat Reader gericht, ik denk niet dat het ook maar iemand verbaasd dat de baddies hun pijlen hier op afschieten.
Markt penetratie van het product bepaald enorm veel over hoe sterk het product getest word op fouten door security professionals en baddies.
Wilt niet zeggen dat de rest van de software effectief veiliger is, wilt gewoon zeggen dat er hier minder mensen met de microscoop over gaan :)
My 2c
Kijk naar de tijd van aanmelden bug, tot oplossing. Dan zal Adobe of Microsoft waarschijnlijk bovenaan de lijst staan. Het 'aantal' lekken ZEGT NIETS.
Alles is lek. Overal zitten fouten. De vraag is of en wanneer deze gevonden worden. En de volgende vraag is, hoe snel je leverancier dit voor je oplost.
Daarnaast boeit het mij weinig hoeveel security holes een besturingssysteem heeft. Zolang ze maar tijdig verholpen worden. Apple is hier volgens mij niet de beste partij in, maar zover ik weet, zijn ze ook niet een van de slechtere.
komkommerkoppentijd
Kijk naar de tijd van aanmelden bug, tot oplossing. Dan zal Adobe of Microsoft waarschijnlijk bovenaan de lijst staan. Het 'aantal' lekken ZEGT NIETS.
Alles is lek. Overal zitten fouten. De vraag is of en wanneer deze gevonden worden. En de volgende vraag is, hoe snel je leverancier dit voor je oplost.
http://www.nu.nl/internet/2291034/software-apple-bevat-meeste-lekken.html
Het is slecht overgenomen. Ik heb nog gezocht op "meest lekke", bij taalunie. Daar kennen ze de combinatie niet. (of ik heb slecht gezocht- ik heb ook een drukke dag achter de rug)
Dat is de kwaliteit van de taal tegenwoordig: meest lekke, meest goede, enzovoort. "lekste" en "beste" kent men niet meer. Voor mij kijk ik steeds meer met een korreltje zout naar informatie die van zulke taalanalfabeten af komt. Als ze al niet normaal kunnen schrijven, wat is dan de kwaliteit van de inhoud?
Je zou het bijna gaan denken. Storend suggestief, dit nieuwsbericht. Het verwart "lekken welke ontdekt zijn" en "daadwerkelijke kwetsbaarheid door lekken".
Houd er wel rekening mee, ontzettend veel security issues binnen Mac OS X zijn fouten in 3rd-party stukken software. Denk aan OpenSSL, OpenSSH, de BSD codebase, CUPS, Apache, etc. Deze stukken code zijn Open Source en worden overal en nergens gebruikt. Er zit ontzettend veel peer reviewing op die code, dus dan komen security issues vaker naar boven. Als er 1 bug wordt gevonden in zo'n stuk software, zie je minstens 15 vendors security errata publiceren.
Daarnaast boeit het mij weinig hoeveel security holes een besturingssysteem heeft. Zolang ze maar tijdig verholpen worden. Apple is hier volgens mij niet de beste partij in, maar zover ik weet, zijn ze ook niet een van de slechtere.
Precies en zo blijkt een onderzoek van Secunia nergens op gebaseerd te zijn, Ze kunnen beter hun energie investeren in (echte?) veiligheidsoplossingen.
Meh. Het praktische gevaar is nog steeds nihil.
Met common sense kom je namelijk een heel eind:
Download geen illegale zooi,
download geen illegale zooi,
download geen illegale zooi,
gebruik een apart admin account,
make browser 'porn' mode your friend,
blokkeer browser plugins zoals flash (flash cookies r evil) en pdf readers,
zet het auto openen van downloaded files uit,
gebruik geen chrome (meer een privacy ding, maar toch),
etc, etc.
There is NO patch for human stupidity.
(For the non believers: verras me met praktijk cases.)
De Taalunie zijn zuigkanaries en ik zie ze er voor aan om morgen 'meest lekke' op te nemen in het groene boekje als nieuwe wet.
Met common sense kom je namelijk een heel eind:
Download geen illegale zooi,
download geen illegale zooi,
download geen illegale zooi,
gebruik een apart admin account,
make browser 'porn' mode your friend,
blokkeer browser plugins zoals flash (flash cookies r evil) en pdf readers,
zet het auto openen van downloaded files uit,
gebruik geen chrome (meer een privacy ding, maar toch)
Meerdere jaren lopend met zonder windows firewall, geen 3rd party firewall lopen op dit systeem, standaard admin account, geen antivirus / anti spam.
Illegale zooi downloaden aan 300 gb / maand, gewoon veel games even uittesten, toch bijna geen games die mijn aandacht kunnen houden, gewoon eens even rondkijken ^^
Paar plugins voor browser wel, en deze is altijd up to date, maar is dan ook het enige, zelfs windows updates staat uit.
Die paar addons en ervaring op het net is echt alles wat je nodig hebt om grootste deel van de problemen zo te ontwijken imho.
Het Enige wat er zowat voor security zorgt op deze machine hier is mijn common sense en mijn dedicated linux Router / Firewall / IDS / IPS.
Overigens word het systeem wel regelmatig ge-imaged zodat als er eens iets fout gaat het snel terug is gezet.
Dit heb ik gelukkig genoeg maar 2 keer moeten doen (besmette usb stick van collega (autorun vergeten dood te modden, my bad) en eens paar probleempjes waarvan ik de bron helaas niet ken.
Overigens bekijk ik het ook met beetje andere ogen, alles gepatcht houden is meer werk dan het mij waard is, gewoon verwachten dat er wel eens iets mis zal gaan en meteen voorzien op deze omstandigheden.
Zo staat alle data met incrementele backups op fileserver, waar ook antivirus op draait. (Clamav)
Geen standaard setup, vrij laks kwa security richting de desktops, maar in de praktijk zeeer tevreden over deze setup!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.