image

Firefox meest lekke browser op internet

dinsdag 10 november 2009, 14:18 door Redactie, 30 reacties

Firefox had in de eerste helft van dit jaar de meeste beveiligingslekken van alle browers, maar Apple's Safari nadert snel. Volgens webbeveiliger Cenzic waren browserlekken goed voor 8% van alle weblekken. Mozilla's Firefox is met 44% de meest kwetsbare browser, gevolgd door Apple's Safari, dat een aandeel van 35% veroverde. De plotselinge stijging van Safari wordt verklaard door het toegenomen aantal lekken in iPhone Safari. Internet Explorer komt met 15% op de derde plaats, terwijl Opera met 6% hekkensluiter is.

In totaal werden er 3100 lekken ontdekt, een tien procent stijging ten opzichte van de laatste twee kwartalen vorig jaar, toen de teller op 2835 bleef steken. Negentig procent van de kwetsbaarheden bevond zich in webapplicaties, 8% in webservers en 2% in browsers. Bij webapplicaties komen cross-site scripting (17%) en SQL-injectie (25%) het meest voor. Cenzic maakte ook nog een top 10 van de meest ernstige lekken in willekeurige volgorde.

  1. phpMyAdmin Configuration File PHP Code Injection Vulnerability - CVE-2009-1285
  2. SAP cFolders Cross Site Scripting And HTML Injection Vulnerabilities - Bugtraq ID – 34658
  3. Sun Java System Access Manager Cross-Domain Controller (CDC) Cross Site Scripting Vulnerability - CVE-2009-2268
  4. Citrix Web Interface Unspecified Cross-Site Scripting Vulnerability - Bugtraq ID – 34761
  5. Sun Java System Web Server Reverse Proxy Plug-in Cross-Site Scripting Vulnerability - CVE-2009-1934
  6. Apache Tomcat Form Authentication Existing/Non-Existing Username Enumeration Weakness - CVE-2009-0580
  7. phpMyAdmin 'setup.php' PHP Code Injection Vulnerability - CVE-2009-1151
  8. F5 Networks FirePass SSL VPN 'password' Field Cross-Site Scripting Vulnerability - CVE-2009-2119
  9. Multiple Symantec Products Log Viewer Multiple Script Injection Vulnerabilities - CVE-2009-1428
  10. IBM Tivoli Identity Manager Multiple Cross Site Scripting Vulnerabilities- Bugtraq ID – 35566
Reacties (30)
10-11-2009, 14:33 door Syzygy
Oeps
10-11-2009, 14:46 door [Account Verwijderd]
[Verwijderd]
10-11-2009, 14:54 door Anoniem
deze cenzic?
http://www.cenzic.com/pr_20061011/

== Microsoft Certified Partner
10-11-2009, 14:57 door Anoniem
Eens even tellen hoeveel Microsoft lekker er in de top 10 staan;
ahja, nul.
10-11-2009, 14:57 door Syzygy
Door Hugo:
Door Syzygy: Oeps
Nog zo'n briljante reactie. Als je niks zinnigs te melden heb, reageer dan niet.

Want jij bent de baas hier hè, Brainiac, het is trouwens "hebt" met een t , stam + t, weet je nog wel, 3e klas lagere school.
10-11-2009, 15:00 door Anoniem
Kijk eens per product naar de hoeveelheid nog niet verholpen lekken. Dan krijg je een heel ander beeld.
10-11-2009, 15:01 door meinonA
Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.

Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.
10-11-2009, 15:10 door Anoniem
Wacht even. "SQL Injection" is toch geen browser lek, of ben ik nou gek? Bovendien lijkt het erop alsof de meeting het aantal lekkages op het web rapporteert, en niet het aantal lekken in Firefox.

Firefox met 1 lek zorgt voor veel meer "lekkage" dan Opera met 100 lekken, omdat Firefox veel populairder is en dus meer wordt gebruikt.

Dus "meest kwetsbare browser" is een beetje te kort door de bocht in dit artikel.
10-11-2009, 15:13 door Syzygy
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.

Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.

Juist, vandaar mijn "Oeps"

Morgen ontdekken ze 15 ernstige lekken in IE8 en dan is de mening weet geheel anders.
Dan kan dit item zo overgenomen worden alleen de getalletjes even husselen.
10-11-2009, 15:15 door Anoniem
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.

Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.

Maakt geen fluit uit. Lek is lek, en dat zegt in ieder geval genoeg over de software zelf.
10-11-2009, 15:20 door Anoniem
Maar van FireFox zijn de bekende lekken nu gedicht, IE8 heeft al heel lang een bekend lek...
10-11-2009, 15:27 door Syzygy
Door Anoniem:
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.

Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.

Maakt geen fluit uit. Lek is lek, en dat zegt in ieder geval genoeg over de software zelf.

Als 2 Browers elk 10 lekken hebben en ze vinden en repareren er in browser A: 8 en in B : 3
Welke is dan beter ??
Die getallen zeggen NIKS !!

De ERNST van de lekken en hoeveel er nog in KUNNEN zitten speelt ook een grote rol en je weet nooit hoeveel lekken er nog in zitten dus is zo'n opsomming van lekken en vergelijking tussen andere totaal nietszeggend !

Momentopname, meer niet !
10-11-2009, 16:34 door spatieman
ik mis de windows IE lekken, maar die zullen ze nu nog aan het tellen zijn neem ik aan..
10-11-2009, 17:22 door Bitwiper
Als ik met regscanner (zie http://www.nirsoft.net/utils/regscanner.html) onder HKEY_LOCAL_MACHINE zoek naar "Compatibility Flags" (zonder de aanhalingstekens) vanaf 1-1-2009 dan vind ik 92 kill-bitted ActiveX objecten, waarvan waarschijnlijk de meesten (zo niet allen) remote code execution vulns betreffen.

Lang niet al die modules zijn door Microsoft gemaakt (en dus ook niet standaard aanwezig), maar met een beetje social engineering, zeker in het geval van digitaal ondertekende plugins, zijn veel gebruikers wel te overreden om zo'n "trusted" maar lekke plugin aan hun browser toe te voegen. Daarom is het discutabel of je Microsoft dit moet aanrekenen, aan de andere kant hebben zij deze brakke technologie (tegen het advies van velen) geïmplementeerd en in stand gehouden, en MSIE is de enige browser waarin deze problemen spelen.

Zou Cenzic deze lekken, die alleen op MSIE van toepassing zijn, in hun onderzoek hebben meegenomen?
10-11-2009, 17:34 door Anoniem
Hoeveel lekken staan er nog bij IE/safari open waarvan wij niets weten, dat is de grote vraag!
10-11-2009, 19:16 door Anoniem
Door Anoniem: Maar van FireFox zijn de bekende lekken nu gedicht, IE8 heeft al heel lang een bekend lek...
O ja? Vertel eens? Of lul je maar wat uit je lek?
10-11-2009, 19:18 door Anoniem
Door spatieman: ik mis de windows IE lekken, maar die zullen ze nu nog aan het tellen zijn neem ik aan..
Lees het verhaal nog eens, dan snap jij waarom ik vind dat je slap staat te lullen. Maar we weten nou wel dat jij alles haat waar Microsoft op staat. De waarheid is niet van belang, toch?
10-11-2009, 20:11 door Anoniem
Het gaat om de 10 van de meest ernstige lekken in willekeurige volgorde. De lekken die zijn geteld zegt idd niet veel. Maar toch leuk om te horen dat IE het niet zo slecht doet in ieder geval. Anders had Adobe er ook in moeten staan die doen het ook goed qua beveiliging.
10-11-2009, 20:34 door cyberpunk
Firefox had in de eerste helft van dit jaar de meeste beveiligingslekken van alle browers, maar Apple's Safari nadert snel. Volgens webbeveiliger Cenzic waren browserlekken goed voor 8% van alle weblekken. Mozilla's Firefox is met 44% de meest kwetsbare browser

Ook als je NoScript geïnstalleerd hebt? Ik denk het niet...
10-11-2009, 20:39 door Anoniem
Door cyberpunk: Ook als je NoScript geïnstalleerd hebt? Ik denk het niet...
Als je no-script draait is je browser opeens niet lek? Niet alle problemen ontstaan door Java of Flash.
10-11-2009, 21:32 door Anoniem
ja, alle browsers zijn onveilig, moet je nou geloven of niet? op de ene site is het internet explorer en op de andere weer firefox... Allemaal BS en het interesseert me ook niet...
10-11-2009, 23:20 door [Account Verwijderd]
[Verwijderd]
10-11-2009, 23:35 door Anoniem
Door spatieman: ik mis de windows IE lekken, maar die zullen ze nu nog aan het tellen zijn neem ik aan..
Haha, volkomen met je eens
11-11-2009, 11:10 door Anoniem
De hoeveelheid lekken zou niet veel uit moeten maken. Deze vragen spelen ook mee:
Hoeveel van deze lekken zijn al gedicht?
Hoe snel zijn deze gedicht? (Moet je per-se wachten tot patch-tuesday voordat je de patch krijgt?)
Hoeveel procent van de gebruikers van deze browsers heeft hun browser recent gepatcht?


Door Jos Visser: Je moet natuurlijk ook gewoon Chrome gebruiken!
Chrome draait op de zelfde engine als Safari. (webkit) =D
Lijkt me ongeveer de zelfde lekken hebben. :)
11-11-2009, 11:32 door [Account Verwijderd]
[Verwijderd]
11-11-2009, 12:43 door Anoniem
De MS propaganda stoet op volle toeren: alleen lekken in andere browsers dan IE ? Yeah right ! Overigens hebben we aan dit soort statistieken natuurlijk helemaal niets.

Met betrekking tot de lekken in browsers is alleen het antwoord op de volgende vragen relevant:
1. Om welke kwetsbaarheden/ lekken gaat het en hoe gevaarlijk zijn die ?
2. Zijn die lekken door de browserontwikkelaars gedicht, en zo ja, op welke wijze ?

Al het overige is ruis en/of stemmingmakerij.
11-11-2009, 13:36 door Anoniem
Door Hugo:
Door Syzygy: Als 2 Browers elk 10 lekken hebben...
Zo talenwonder. Kan je wel leuk wat gillen over mijn tikfout. Maar zelf maak je een echte taalfout.
Het is namelijk: Als 2 browsers elk 10 lekken HEEFT... "elk" is enkelvoud.
Helaas is 'elk' niet het onderwerp van de zin. Het onderwerp is namelijk '2 browsers' en dat is toch echt meervoud.

Het Cenzic-rapport heeft het alleen maar over percentages fouten, aantallen dus, zonder enig onderscheid naar de ernst en exploitability. Het rapport maakt niet duidelijk wat men precies geteld heeft. Dus alleen al daarom heeft het rapport geen waarde. Men vertelt niet hoelang lekken ongepatcht blijven. Men vertelt ook niet dat ActiveX zelfs zonder software-fouten een browser/computer onveilig maakt. En veel fouten in Firefox hebben te maken met Javascript. Door voorzichtig te zijn met Javascript (NoScript bijvoorbeeld), kan je dus een hoop ellende voorkomen.
Een slecht rapport dat alleen maar dient om de aandacht even op Cenzic te vestigen.
12-11-2009, 13:55 door Anoniem
Door Syzygy:
Door meinonA: Het is overigens helemaal niet interessant hoeveel lekken er zijn maar hoe snel ze gedicht worden en hoeveel misbruik ervan gemaakt wordt. Ook zijn er partijen die geen openheid geven over het aantal lekken.

Alleen het noemen van een getalletje is dus niets anders dan stemmingmakerij.

Juist, vandaar mijn "Oeps"

Morgen ontdekken ze 15 ernstige lekken in IE8 en dan is de mening weet (WEER) geheel anders.
Dan kan dit item zo overgenomen worden alleen de getalletjes even husselen.



Syzygy, als je een ander wijst op spelvouten wees dan zelf ook foutloos. Sinds het gesprek over het ontdekken van kinderporno op iemands harde schijf begin ik een beetje een beeld te krijgen dat je jezelf de oppermachtige allesweter vindt die voor rechter wil spelen. Doe aub niet zo kinderachtig.....

Het Orakel
15-11-2009, 11:01 door [Account Verwijderd]
[Verwijderd]
17-11-2009, 15:26 door Anoniem
Door Hugo:
Door Anoniem: Helaas is 'elk' niet het onderwerp van de zin. Het onderwerp is namelijk '2 browsers' en dat is toch echt meervoud.
Leuk geprobeerd, maar niet juist. En nu ben ik klaar met deze talendiscussie.

Ik niet: FF is namelijk 'het lekst' en niet 'de meeste lekke'.
Redactie had last van Engelse ziekte denk ik....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.