2min

Tags in dit artikel

, , , ,

Uit onderzoek van IBM’s ISS X-Force blijkt dat voor het eerst Apple de ontwikkelaar is met de meeste lekken.

In het onderzoek werd gekeken naar het aantal gemelde kwetsbaarheden in de eerste helft van 2009. Hieruit bleek dat tien ontwikkelaars verantwoordelijk waren voor 24 procent van alle lekken.

Applicaties

In die toptien werd afscheid genomen van WordPress en TYPO3. Bovendien kende de toptien nog een aantal andere, aanzienlijke veranderingen, zo staat Microsoft niet langer op nummer een, maar nu op de derde plek van fabrikant met meest gemelde lekken. De eerste plek is ingenomen door Apple en de tweede plek door Sun.

Met name de opkomst van Sun was voor de onderzoekers een verrassing. Mozilla, bekend van de populaire webbrowser Mozilla Firefox, staat op plek zeven met 1,8 procent.

In het overzicht van ongepatchte lekken leidt Joomla. Van de veertig gemelde kwetsbaarheden in die webapplicatie zijn er slechts acht gepatcht, wat inhoudt dat tachtig procent nog gedicht moet worden. Apple staat op de tweede plek, met 22 openstaande lekken (18 procent van de gemelde kwetsbaarheden) en Microsoft op de derde plaats met 17 openstaande lekken (17 procent). Op de vijfde plek staat Mozilla met acht ongepatchte lekken (14 procent).

In de eerste helft van dit jaar werden in totaal 3240 nieuwe kwetsbaarheden gemeld. Dit is acht procent minder dan dezelfde periode vorig jaar.

De meeste lekken werden in webapplicaties en ActiveX-controls gevonden. Cross site scripting, SQL-injecties en file include-kwetsbaarheden zijn de meest voorkomende problemen in webapplicaties.

Besturingssystemen

Ook onderzocht X-Force het aantal lekken in besturingssystemen en het totaalaantal kwetsbaarheden per besturingssysteem. Hieruit blijkt dat Suns Solaris op de eerste plek staat, gevolgd door Apple, Linux, Microsoft en BSD. BSD blijft als enige onder de twintig vulnerability disclosures, terwijl Sun, Apple en Linux elk rond de zestig zitten.

Indien alleen wordt gekeken naar de ernstige kwetsbaarheden, dan is Microsoft koploper met 39 procent. Apple, Sun en Linux doen het in dit geval beter met respectievelijk 18, 14 en 14 procent.

Webbrowsers

Ook op het gebied van kwetsbaarheden in webbrowsers is er verandering merkbaar. De meeste lekken werden in de browser van Mozilla gemeld in dit eerste halfjaar, maar IE-gebruikers liepen toch het meeste risico omdat de meeste clientlekken nog altijd in ActiveX aanwezig zijn.

Dat blijkt ook uit de topvijf meestgebruikte exploits. Op de eerste plek van de lekken die aanvallers misbruiken staat het drie jaar oude MDAC-ActiveX-lek van Microsoft, gevolgd door het lek in de ActiveX-Snapshot Viewer uit 2008. Tenslotte staat op de derde plek een twee jaar oud lek in Adobe Acrobat, op de vierde plek het Microsoft IE7 DHTML Object Reuse-lek van dit jaar en op de vijfde plek een RealPlayer-ActiveX-lek uit 2007.