De meest kwetsbare software van 2014
Precies 15.435 kwetsbaarheden in 3.870 programma’s. Zoveel lekken, fouten en gaten in software registreerde het bedrijf Secunia in 2014. Dat blijkt uit zijn jaarlijkse ‘Vulnerability Review 2015’, dat net is uitgekomen.
De cijfers duiden op een stijging van 18 procent in het aantal kwetsbaarheden en 22 procent in de hoeveelheid getroffen software. De top drie is opmerkelijk: Google Chrome staat helemaal bovenaan met 504 kwetsbaarheden, gevolgd door Oracle Solaris (483) en Gentoo Linux (350). Internet Explorer van Microsoft komt ‘slechts’ op de vierde plaats (289). OS X van Apple staat op dertien met 147 kwetsbaarheden, Windows 8 pas op twintig met 105 fouten.
[related_article id=”161920″]
De top twintig wordt verder gedomineerd door software van IBM, met acht programma’s: Tivoli Endpoint Manager was de slechtste leerling van Big Blue, met 258 kwetsbaarheden, en staat op de achtste plaats. Daarna komen nog onder meer Tivoli Storage Productivity Center (231), IBM Websphere Application Server (210), IBM Domino (177), IBM Lotus Notes (174) en IBM Tivoli Composite Application Manager For Transactions (136).
Programma’s die uit hetzelfde huis komen, delen waarschijnlijk een hoop kwetsbaarheden, dus de cijfers van IBM lijken erger dan ze zijn. Bovendien is het aantal kwetsbaarheden ook niet de beste graadmeter om te bepalen of software nu veilig is of niet. Dat er veel kwetsbaarheden gevonden worden in Chrome, maakt die browser misschien wel net de veiligste, omdat de lekken in andere browsers misschien verborgen blijven. Het betekent echter wel dat je regelmatig de updates van Google moet installeren.
Microsoft: goed, maar was ooit beter
Microsoft-software (inclusief Windows 7) was volgens Secunia goed voor 69 procent van de producten uit de top vijftig van meest geïnstalleerde software op pc’s, maar liet maar 23 procent van het aantal kwetsbaarheden optekenen. Dat klinkt goed, maar het cijfer is de laatste jaren wel weer aan het stijgen. Tussen 2007 en 2012 daalde het van 43 naar 14 procent.
Windows 8 was het Microsoft-programma met de meeste kwetsbaarheden, maar het cijfer daalde wel van 156 in 2013 naar 105 in 2014. Windows 7 deed nog beter: van 102 naar 33. XP ging van 99 in 2013 naar 4 in 2014, maar dat had vooral te maken met de technische ondersteuning die Microsoft in april vorig jaar stopzette.
Zoals gewoonlijk hadden webbrowsers het meeste last van gaten. Na Chrome volgden Internet Explorer (289), Firefox (171) en Safari (92). Ook Oracle Java JRE (119), Adobe Flash Player (99), Apple iTunes (84), Adobe Air (59), Adobe Reader (43), Microsoft Windows 7 (33), Apple QuickTime (14) en Microsoft Word (13) lieten van zich horen.
Oppassen met openbron
De zwaarste veiligheidsproblemen in 2014, zoals Heartbleed en Shellshock, werden echter opgetekend in openbronsoftware. Secunia noemt het gebruik van dit soort software dan ook een ‘voorheen verwaarloosd probleem’. Bedrijven zouden zich goed bewust moeten zijn van welke openbronsoftware ze in gebruik hebben, zo zegt Secunia. Ook een goede migratiestrategie, voor wanneer er problemen opduiken, is geen overbodige luxe. Omdat de applicaties die de openbronbibliotheken gebruiken niet altijd gepatcht worden, worden ze vaak zelfs niet als kwetsbaar gerapporteerd.
Secunia krijgt het overgrote deel van zijn informatie via zijn Personal Software Inspector (PSI), een programmaatje dat op een paar miljoen pc’s draait en regelmatig checkt of alle nieuwe patches en updates geïnstalleerd zijn.
Precies 15.435 kwetsbaarheden in 3.870 programma’s. Zoveel lekken, fouten en gaten in software registreerde het bedrijf Secunia in 2014. Dat blijkt uit zijn jaarlijkse ‘Vulnerability Review 2015’, dat net is uitgekomen.
De cijfers duiden op een stijging van 18 procent in het aantal kwetsbaarheden en 22 procent in de hoeveelheid getroffen software. De top drie is opmerkelijk: Google Chrome staat helemaal bovenaan met 504 kwetsbaarheden, gevolgd door Oracle Solaris (483) en Gentoo Linux (350). Internet Explorer van Microsoft komt ‘slechts’ op de vierde plaats (289). OS X van Apple staat op dertien met 147 kwetsbaarheden, Windows 8 pas op twintig met 105 fouten.
[related_article id=”161920″]
De top twintig wordt verder gedomineerd door software van IBM, met acht programma’s: Tivoli Endpoint Manager was de slechtste leerling van Big Blue, met 258 kwetsbaarheden, en staat op de achtste plaats. Daarna komen nog onder meer Tivoli Storage Productivity Center (231), IBM Websphere Application Server (210), IBM Domino (177), IBM Lotus Notes (174) en IBM Tivoli Composite Application Manager For Transactions (136).
Programma’s die uit hetzelfde huis komen, delen waarschijnlijk een hoop kwetsbaarheden, dus de cijfers van IBM lijken erger dan ze zijn. Bovendien is het aantal kwetsbaarheden ook niet de beste graadmeter om te bepalen of software nu veilig is of niet. Dat er veel kwetsbaarheden gevonden worden in Chrome, maakt die browser misschien wel net de veiligste, omdat de lekken in andere browsers misschien verborgen blijven. Het betekent echter wel dat je regelmatig de updates van Google moet installeren.
Microsoft: goed, maar was ooit beter
Microsoft-software (inclusief Windows 7) was volgens Secunia goed voor 69 procent van de producten uit de top vijftig van meest geïnstalleerde software op pc’s, maar liet maar 23 procent van het aantal kwetsbaarheden optekenen. Dat klinkt goed, maar het cijfer is de laatste jaren wel weer aan het stijgen. Tussen 2007 en 2012 daalde het van 43 naar 14 procent.
Windows 8 was het Microsoft-programma met de meeste kwetsbaarheden, maar het cijfer daalde wel van 156 in 2013 naar 105 in 2014. Windows 7 deed nog beter: van 102 naar 33. XP ging van 99 in 2013 naar 4 in 2014, maar dat had vooral te maken met de technische ondersteuning die Microsoft in april vorig jaar stopzette.
Zoals gewoonlijk hadden webbrowsers het meeste last van gaten. Na Chrome volgden Internet Explorer (289), Firefox (171) en Safari (92). Ook Oracle Java JRE (119), Adobe Flash Player (99), Apple iTunes (84), Adobe Air (59), Adobe Reader (43), Microsoft Windows 7 (33), Apple QuickTime (14) en Microsoft Word (13) lieten van zich horen.
Oppassen met openbron
De zwaarste veiligheidsproblemen in 2014, zoals Heartbleed en Shellshock, werden echter opgetekend in openbronsoftware. Secunia noemt het gebruik van dit soort software dan ook een ‘voorheen verwaarloosd probleem’. Bedrijven zouden zich goed bewust moeten zijn van welke openbronsoftware ze in gebruik hebben, zo zegt Secunia. Ook een goede migratiestrategie, voor wanneer er problemen opduiken, is geen overbodige luxe. Omdat de applicaties die de openbronbibliotheken gebruiken niet altijd gepatcht worden, worden ze vaak zelfs niet als kwetsbaar gerapporteerd.
Secunia krijgt het overgrote deel van zijn informatie via zijn Personal Software Inspector (PSI), een programmaatje dat op een paar miljoen pc’s draait en regelmatig checkt of alle nieuwe patches en updates geïnstalleerd zijn.