'Apple komt sneller met patches bij publieke lekken'
Gepubliceerd: Donderdag 6 september 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Apple reageert veel sneller op lekken in zijn software die algemeen bekend zijn, dan op veiligheidsproblemen waarvan alleen Apple zelf en de ontdekker van het lek weet hebben.
Dat blijkt uit een uitgebreide analyse van Apple's patch-beleid van Brian Krebs. Krebs heeft zijnbevindingen gepubliceerd op het weblog Security Fix dat hij bijhoudt op de site van de Washington Post.
Bij een lek dat algemeen bekend is, had Apple vorig jaar gemiddeld 23 dagen nodig om een patch uit te brengen. Dat is aanmerkelijk sneller dan bij kwetsbaarheden die niet algemeen bekend zijn. Gemiddeld kostte het Apple 82 dagen om een lek te dichten. Dat is een behoorlijke verbetering ten opzichte van de twee voorgaande jaren, toen Apple nog gemiddeld 91 dagen nodig had voor het uitbrengen van reparatiesoftware. Apple heeft vorig jaar meer dan twee keer zoveel patches uitgebracht als in 2004 en 2005 samen.
Het publiekelijk bekendmaken van softwarelekken voordat er een patch beschikbaar is ('full disclosure'), wordt vaak afgewezen door softwarefabrikanten. In de tijd tussen het openbaar maken van een lek en het dichten ervan kunnen kwaadwillenden immers proberen om gebruikers van de getroffen software aan te vallen.
Voorstanders van full disclosure menen daarentegen dat het naïef is om te denken dat de ontdekker van een lek en de softwarefabrikant als enigen op de hoogte zijn van een lek. Bovendien kan full disclosure ervoor zorgen dat fabrikanten haast maken met het maken van patches - een stelling die Krebs' onderzoek naar het patch-beleid van Apple lijkt te bevestigen. Om informatie te verzamelen moest Krebs contact opnemen met een flink aantal beveiligingsexperts die lekken hebben ontdekt in Apple-software. De computerfabrikant was zelf niet bereid om informatie te verschaffen voor Krebs' onderzoek.
Bron: Techworld
