image

Android had meeste beveiligingslekken in 2016

maandag 2 januari 2017, 13:49 door Redactie, 22 reacties

Android was het product waarin vorig jaar de meeste kwetsbaarheden werden gevonden, zo blijkt uit cijfers van CVE Details. In het mobiele besturingssysteem van Google werden 523 kwetsbaarheden gerapporteerd. CVE staat voor Common Vulnerabilities en Exposures.

Zodra leveranciers of onderzoekers een lek vinden kunnen ze hiervoor een CVE-nummer aanvragen. Vervolgens kan de betreffende kwetsbaarheid via het uitgegeven CVE-nummer worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. Via CVE Details kan er een Top 50 van programma's en besturingssystemen met de meeste kwetsbaarheden worden opgevraagd.

Vorig jaar stond Adobe Flash Player met 314 kwetsbaarheden bovenaan. Dit jaar staat Flash Player met 266 beveiligingslekken op een vierde plek. De tweede en derde plek worden door respectievelijk Debian (319) en Ubuntu (278) ingenomen. Naast Flash Player is Adobe met de pdf-lezer Acrobat drie keer in de Top 10 terug te vinden. Naast Google, Debian, Canonical en Adobe maken Linux (Linux-kernel) en Novell de Top 10 compleet.

Wordt er naar besturingssystemen gekeken, dan staat macOS op een elfde plek (215), net voor Windows 10 waarin 172 kwetsbaarheden werden gevonden. Als het om browsers gaat is Google ook bovenaan te vinden. In Chrome werden 172 kwetsbaarheden gerapporteerd. Iets meer dan Edge (135), Firefox (133) en Internet Explorer (129). Firefox-gebruikers die meer veiligheid willen kunnen beter voor de ESR-versie kiezen. In deze versie ontdekten onderzoekers vorig jaar namelijk 72 beveiligingslekken. Nog altijd 16 meer dan de 56 van Safari, wat van de populairste browsers de minste kwetsbaarheden heeft.

Image

Reacties (22)
02-01-2017, 14:10 door Anoniem
Ik mis Chrome OS in de Top50, is dat dan echt zo veilig?

Zou ook graag een Top50 zien met de snelheid waarmee lekken gedicht worden, lijkt me ook relevant.
02-01-2017, 14:29 door potshot
oh christus..linux,debian,ubuntu!
alle hens aan dek voor de bagataliseer politie van linux volgelingen..
met als resultaat natuurlijk dat windows vééél erger is.
02-01-2017, 14:30 door Joep Lunaar
Curieus dat zeer actief onderhouden open source projecten zo hoog in dit soort lijsten staan.

En toch ook niet verrassend. Deze projecten geven het goede voorbeeld, ze besteden veel aandacht aan de veiligheid van hun distributies.
02-01-2017, 14:31 door Joep Lunaar
Door potshot: oh christus..linux,debian,ubuntu!
alle hens aan dek voor de bagataliseer politie van linux volgelingen..
met als resultaat natuurlijk dat windows vééél erger is.

yep, je zegt 't
02-01-2017, 14:33 door Anoniem
Beetje jammer van de titel, "Android had meeste beveiligingslekken" is heel wat anders dan "Android was het product waarin vorig jaar de meeste kwetsbaarheden werden gevonden". Het nieuwsbericht gaat over het aantal CVE's wat gevonden is, en dat is afhankelijk van:

- Hoeveel onderzoek er wordt gedaan (en dat is weer afhankelijk van hoe interessant het is om hier onderzoek naar te doen, door bv. een groot aantal gebruikers, of grote risicofactoren, etc.)
- Hoeveel security-related bugs er worden gevonden uit dat onderzoek (dit zou nog gezien kunnen worden als graadmeter voor de kwaliteit van de code, maar dat kun je lastig meten)
- Hoeveel CVE's er worden aangevraagd en toegekend voor deze bugs (het aantal bugs wat gevonden wordt en wat niet gerapporteerd wordt zie je hier dus niet)
etc.

Het ligt dus allemaal wel wat subtieler dan het bericht schetst..
02-01-2017, 15:51 door Anoniem
Als je OS'en (Android, Debian etc.) en applications (Flash, Acobad^Ht) met elkaar in één lijstje gaat plaatsen dan ben ik gauw klaar met lezen.
02-01-2017, 15:53 door Zeurkool - Bijgewerkt: 02-01-2017, 15:54
Door Anoniem: Ik mis Chrome OS in de Top50, is dat dan echt zo veilig?

Zou ook graag een Top50 zien met de snelheid waarmee lekken gedicht worden, lijkt me ook relevant.

Chrome staat onder W10 met een gelijk aan beveiligingslekken maar idd de browser en niet het OS.
02-01-2017, 16:20 door Anoniem
Door Zeurkool:
Door Anoniem: Ik mis Chrome OS in de Top50, is dat dan echt zo veilig?

Zou ook graag een Top50 zien met de snelheid waarmee lekken gedicht worden, lijkt me ook relevant.

Chrome staat onder W10 met een gelijk aan beveiligingslekken maar idd de browser en niet het OS.

Ik ben benieuwd naar de veiligheid van de Chromebook, vandaar mijn vraag...
02-01-2017, 16:57 door Anoniem
Kijk eens naar Code Execution (2016) is deze cve database:

Apple OS-X: 109,
Debian 63,
Windows 10 47,
Windows 8.1, 45
Ubuntu 42
Windows 7 39,
Linux kernel 5,


Apple IOS 78,
Andriod 73,

Edge 74,
Firefox 54,
Safarie 31,
Grome 2,

Linux/Unix distributies met veel opties lijken net zo kwetsbaar te worden als Windows. Apple had de naam veilig te zijn maar is het niet. Kale Linux kernel met Grome als web browser, dat is veilig (volgens deze cijfers!)

Goed 2017
02-01-2017, 17:58 door Anoniem
Dat er fouten ergens in zitten is niet te voorkomen. "Security doing it right" is heel moeilijk zelfs voor de door gewinderde programmer die veel van secuirty weer.

maar aan de andere kant is het ook goed dat het Gevonden is.

het kan 2 kanten op. iets heeft geen/weinig fouten. Of de code is zo obsecure dat het lastig is om fouten te vinden of het idd heel goed gemaakt maar 90% van de tijd is het denk ik de eerste.

en als er veel gevonden word is goed. maar als het niet gefixed word is het Slecht. Maar als het wel gefixed word wordt het er alleen maar beter van.

Dus blijven komen met die bug reports. en soms vraag je je af Hoe komen ze hierop om daarop te testen.
02-01-2017, 20:26 door Anoniem
En daarom kan Tavis Ormandy maar eens beter naar Google produkten kijken voordat ze anderen op een shame-lijst te zetten.

Maar ja... Het is PR he... Verwacht dus deze week wel weer een melding van Tavis over het volgende niet Google produkt met een potentieel lek...
02-01-2017, 22:07 door Anoniem
Door Anoniem: Dat er fouten ergens in zitten is niet te voorkomen. "Security doing it right" is heel moeilijk zelfs voor de door gewinderde programmer die veel van secuirty weer.

Nou, 227 fouten (met beveiligingsimpact) in één jaar, in een document-reader vind ik toch wat veel.
02-01-2017, 22:33 door Anoniem
Debian is vanaf 2012 omhoog geschoten, hier schrik ik wel van eerlijk gezegd. wat moet je dan wel gebruiken.....
03-01-2017, 01:03 door Anoniem
Jaarlijks cijfergestuntel

Wordt er naar besturingssystemen gekeken, dan staat macOS op een elfde plek (215)

Elk jaar hetzelfde onzin liedje, vorige keer ook opgemerkt, en ziedaar, weer hetzelfde liedje.
(Reageerder "16:57 door Anoniem" trapt er ook al met open ogen in).

Apple brengt tegenwoordig elk jaar een nieuwe versie uit van haar MacOS * (voormalig Mac OS X).
De laatste in die rij was Macos 12 van afgelopen najaar, dus die is net uit en zit nog aardig in de bijwerkfase (maargoed, hij is uit en terecht onderwerp van aandacht).
Als je gaat cijfertjes p**pen, doe het dan wel goed.

Het is van tweeen één (het èen of het ander).

- Of je telt alle versies aan besturingssytemen van een merk naar keuze bijelkaar op (zoals dat alvast met Macos en alle versies van Mac OS X is gedaan).
- Of je doet dat niet maar dan dien je ook consequent bij alle merken netjes de versies te splitsen.

Dus niet voor Windows versies apart vermelden en voor Apple e.a. niet door alles bijelkaar op te tellen.

Kijk je naar de cve's dan zul je zien dat het tenminste 2 Mac os versies betreft, namelijk MacOs12 en Mac OS X 10.11.
Als we de wat te snelle samenvattingslust van de cve heren geloven (maar dat doe ik niet) betreffen alle gevonden lekken alle versies van Mac OS X, dus helemaal terug tot aan de eerste versie uit 1999 Mac OS X 10.0.
Ga je verder kijken dan is een dergelijke constatering nogal eens niet onderbouwd en blijkt de kwestbaarheid te gelden voor de exact vermelde OS X versie.

Dat is een nogal onzinnige aanname want Mac OS X is sindsdien nogal veranderd (in stappen/batches).

Als we nou heeeel voorzichtig gaan tellen kunnen dus alle cijfertjes voor MacOS/Mac OS X minimaal al worden gedeeld door twee.

Zitten we ineens grofweg op de helft per Mac OS

MacOS 12________________ ± 107,5
Mac OS X 10.11___________ ± 107,5


Maar het mag best nog iets afgerond naar boven, krijg de indruk dat er iets meer gevonden werd voor Mac OS X 10.11 dan voor Macos 12.
Nodig de echte cijferfetisjist van harte uit om te kijken of 1 van de twee de 172 haalt (vast niet ;)

Verder zegt het aantal cve's natuurlijk niet alles, wordt er gezocht, door wie wordt er gezocht, werd het in het wild misbruikt, waren er slachtoffers, was het snel gepatcht?

Kan je mededelen dat menig OS X gebruiker, zo niet vrijwel iedereen weinig met dreiging te maken heeft gehad.

Lekken en daadwerkelijke dreigingen vallen niet bij alle Os -en automatisch samen!
Een verschil om in de gaten te houden.

Leuk hoor een Mac ;)


----------
* De jaarlijkse nieuwe Macos versies betreffen geen update maar een upgrade!
Die worden ook niet zelfstandig binnengehaald maar dat upgraden vereist zelfstandige actie van de gebruiker.
Updates daarentegen kan je wel automatisch laten binnenhalen, de 'kwartaal' security patches bijvoorbeeld.

Deze drie zelfstandige MacOs / OS X versies worden nog ondersteund door Apple

- macOS Sierra (version 10.12)[2] is the thirteenth major release of macOS (previously OS X)
https://en.wikipedia.org/wiki/MacOS_Sierra

- OS X El Capitan (el-KAP-?-TAN) (version 10.11) is the twelfth major release of OS X (now named macOS)
https://en.wikipedia.org/wiki/OS_X_El_Capitan

- OS X Yosemite (/jo??s?m?ti?/ yoh-SEM-it-ee) (version 10.10) is the eleventh major release of OS X (now named macOS)
https://en.wikipedia.org/wiki/OS_X_Yosemite

03-01-2017, 08:53 door Anoniem
Hi,

Een systeem dat relatief veel gebruikt wordt is interessanter voor hackers dan een systeem dat weinig gebruikt wordt.

Zo zie dat Apple IOS in het begin bijna niet werd aangevallen en dat er daardoor weinig fouten zijn gevonden, echter dit is geheel veranderd toen Apple een belangrijke speler is geworden.Het zelfde zie je met de Linux distributies, deze zijn zo'n vijf a zes jaar geleden met o.a. het einde van Windows XP populair geworden voor thuis gebruikers en met de opkomst van virtualisatie is Linux ook populair geworden bij de grote providers (goedkoop aanbieden van VM's).

Door de toename van andere systemen dan Windows richt de hackers zich niet alleen maar op Windows maar ook op deze systemen en nu zien we dat deze systemen (Apple/Linux) minder secure zijn dan dat de meeste van ons dachten.

Dit is een nieuwe realiteit voor Apple en Linux fans die al jaren tegen elkaar zeggen dat hun systeem het veiligst is ;-)

Goed 2017
03-01-2017, 09:50 door [Account Verwijderd]
[Verwijderd]
03-01-2017, 10:04 door Martijn Brinkers
Ik verbaas mij er wel over dat er hier uberhaupt "serieus" discussie wordt gevoerd over deze cijfers. Dit is het zoveelste eindejaars lijstje waar voor het gemak even wat cijfers op een hoop worden gegooid. De cijfers voor Debian zijn totaal niet te vergelijken met de cijfers van Windows. Debian is niet alleen een OS maar een compleet systeem inclusief tienduizende applicaties (Debian bevat +- 57000 packages). De Debian package repository bevat bijvoorbeeld Drupal, Wireshark, MySQL, Postgres, LibreOffice etc. Allemaal packages die ook op Windows geinstalleerd kunnen worden. De lijst met CVEs voor Debian (en Ubuntu) is dus veel groter aangezien hier de CVEs van een enorme hoeveelheid applicaties worden meegeteld. Om het totaal aan CVEs per zoekterm te gaan vergelijken is appels met peren vergelijken.
03-01-2017, 10:17 door [Account Verwijderd]
[Verwijderd]
03-01-2017, 10:20 door Anoniem
Heerlijk zulke reacties

Hoe minder shit (lees toepassingen) er in een systeem zit des de minder fouten er in een systeem zitten, echter je kan dan ook minder met zo'n systeem,
DDOS is lastig maar executie van code is een groter risico..
Hoe meer je controleert op fouten (kwaliteit) hoe beter een systeem.
Als je niet wordt aangevallen dan zijn de risico's laag. Als je veel wordt aangevallen dan zijn de risico's hoog (dreiging profiel).

Allemaal dingen die achter deze cijfers zitten.

Goed 2017
03-01-2017, 12:31 door Anoniem
Door Anoniem: Hi,
Ho

Een systeem dat relatief veel gebruikt wordt is interessanter voor hackers dan een systeem dat weinig gebruikt wordt.
Dat laat de praktijk nog wel eens zien, het klopt in ieder geval voor windows en android.

Zo zie dat Apple IOS in het begin bijna niet werd aangevallen en dat er daardoor weinig fouten zijn gevonden, echter dit is geheel veranderd toen Apple een belangrijke speler is geworden.
Nee dat is precies niet te zien, dat maak jij ervan, je logica loopt spaak.

Het zelfde zie je met de Linux distributies, deze zijn zo'n vijf a zes jaar geleden met o.a. het einde van Windows XP populair geworden voor thuis gebruikers
Nee ook dat is whisful thinking.
Linux mocht hopen dat het na de val van xp populair is geworden.
Helaas heeft de linux community daar een kans van een melkwegstelsel laten liggen, windows 10 heeft haar achterban alsnog letterlijk naar binnen gezogen met haar upgrade systeem.

Door de toename van andere systemen dan Windows richt de hackers zich niet alleen maar op Windows maar ook op deze systemen
Nee niet in de mate zoals jij suggereert.
Wie zich op Apple producten richten zijn niet hackers maar bedrijven en onderzoekers die professioneel naar gaten zoeken.
Zij zoeken liever naar gaten in Apple producten omdat dat status en publiciteit oplevert, daarnaast is Apple zelf een groot deelnemer in het vinden van lekken in haar eigen systemen.
Verreweg de meeste gevonden lekken in Apple producten worden door Apple zelf gevonden of via responsible disclosure met Apple gedeeld.
Vrijwel altijd worden lekken gepatched voordat ze misbruikt worden, dat komt dan ook vrijwel niet voor.

en nu zien we dat deze systemen (Apple/Linux) minder secure zijn dan dat de meeste van ons dachten.
Wat jij denkt dat anderen denken is gissen.
Wat betreft Apple producten, 100% veilige software lijkt niet te bestaan, aan alle software wordt voortdurend geschaafd en bijgespijkerd.
Wat velen zich niet zo realiseren is dat Apple met haar jaarlijkse upgrade systeem zich qua security wat kwetsbaarder maakt en ook weer niet.
Met het elk jaar/ 2 jaar doorvoeren van grote veranderingen in je OS is de kans ook groter dat daar weer nieuwe foutjes inzitten die je met een uitgekristalliseerd OS weer minder hebt.
Daar staat tegenover dat op een uitgekristalliseerd OS men de tijd heeft gehad de in en outs te bestuderen terwijl dat met nieuwe systemen nieuwe tijd kost om te zien hoe het nu weer in elkaar steekt.

De grap is alleen dat iedereen iedere keer bovenop het nieuwste OS van Apple duikt en de andere nog ondersteunde versies meer laat liggen.

Dit is een nieuwe realiteit voor Apple en Linux fans die al jaren tegen elkaar zeggen dat hun systeem het veiligst is ;-)
Nee dat is geen nieuwe realiteit, er verandert eigenlijk niet zoveel.
Zelfs de kritiek verandert niet en het tekort aan fantasie bij de criticasters ook al niet, die is al 10 jaar hetzelfde maar wordt al meer dan 10 jaar geen waarheid, de doembeelden komen maar niet uit.

Zet de ingebeelde en ingeprente kritiek op Apple uit je hoofd, dan komt er misschien ruimte voor de realiteit.
Een tevreden gebruiker is niet per definitie een fan, dat maken tegenstanders ervan.
Apple heeft lang geleden (ook 10 jaar?) een marketing campagne gevoerd waarin zij als underdog tegen ms aanschopten en deden dat op een humorvolle manier.
Die campagne heeft kennelijk zo'n pijn gedaan in sommige zieltjes dat ze er nog niet over op kunnen houden, Apple gebruikers zeggen niet dat hun systeem het veiligst is, maar in de praktijk komt het er wel op neer en dat is dan nog steeds ook een belangrijke reden naast het design en het prettig werkende OS dat mensen zon ding willen hebben.

Het werkt gewoon en je hebt er relatief weinig stront mee.
Met name overstappers (van windows) die de moeite hebben genomen om te leren waar de nieuwe knopjes zitten zijn zielsgelukkig.
En als ze klagen omdat iets een keertje niet meer werkt, dan vraag je gewoon , weet je nog; blauwe schermen, updateproblemen, virusproblemen,.....
O,ja , inderdaad gelukkig heb ik dat niet meer, die ellende was ik al weer helemaal vergeten.

Goed 2017
Jij ook, time for a change?
Tweedehands macs zijn ook een optie, zelfs een unsupported Mac OS zal je nog minder problemen geven dan welk windows OS dan ook (wel java uitzetten en je security instellingen netjes op hoog zetten).

Ik gun je van harte een fijne Mac, computers zijn een hulpmiddel voor de mens, de mens is er niet voor de pc.
Met een Mac hoef je nooit meer security.nl te lezen en hou je zeeën van tijd over voor werkelijk leuke dingen.
Oeps, laat ik me weer verleiden tot tijd verdoen.

Succes met zoeken naar een mooie veilige Mac!
03-01-2017, 12:37 door Anoniem
Lijstjes logica summum : Tails '1 x maar'

https://web.nvd.nist.gov/view/vuln/search-results?query=Tails&search_type=all&cves=on
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5195

Tails is een geconfigureerd Live Linux OS op privacy en security waar je best veel taken mee kan verrichten.
Handig voor erbij.
En secure!

(https://tails.boum.org/)
03-01-2017, 20:24 door Anoniem
Drie keer raden op welk OS deze opmerkingen betrekking hebben en waar ze zijn te vinden:

Impact: A remote attacker may cause an unexpected application termination or arbitrary code execution

Impact: Processing a maliciously crafted file may lead to arbitrary code execution

Impact: An application may be able to execute arbitrary code with kernel privileges

Impact: An application may be able to execute arbitrary code with system privileges

Impact: Processing malicious strings may lead to an unexpected application termination or arbitrary code execution

Impact: Processing a maliciously crafted .mp4 file may lead to arbitrary code execution

Impact: Processing a maliciously crafted font file may lead to arbitrary code execution

Impact: An attacker in a privileged network position may be able to leak sensitive user information

Impact: A local user may be able to gain root privileges

Impact: An application may be able to execute arbitrary code with kernel privileges

Impact: Processing maliciously crafted web content may lead to arbitrary code execution

Impact: An application may be able to execute arbitrary code with kernel privileges

Impact: A local attacker may be able to read kernel memory

Impact: A local application with system privileges may be able to execute arbitrary code with kernel privileges

Apple dus en te vinden bij Apple zelf:

https://support.apple.com/en-gb/HT207423

En ja zo'n lijst kan je ook maken voor Windows en Andriod, echter dat weet iedereen al ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.