
Flash Player net zo lek als heel besturingssysteem
Adobe zit vier keer in de top 10 kwetsbaarste software.
Android was in 2016 de kwetsbaarste software, zo wijst een telling van CVE's uit. Opvallender is dat hele besturingssystemen met hun enorme aanvalsoppervlak bijna net zo kwetsbaar zijn als Adobe's diverse browser-plugins.

Flash Player net zo lek als heel besturingssysteem
Android was in 2016 de kwetsbaarste software, zo wijst een telling van CVE's uit. Opvallender is dat hele besturingssystemen met hun enorme aanvalsoppervlak bijna net zo kwetsbaar zijn als Adobe's diverse browser-plugins.
De top tien die Bleeping Computer samenstelde wordt aangevoerd door Android met 523 CVE's in 2016, gevolgd door Debian (319) en Ubuntu (278). Op de vierde plaats staat het eerste niet-OS en dat is Adobe's Flash Player met 266 gemelde kwetsbaarheden.
De top tien bevat verder uitsluitend besturingssystemen (hoewel 10 de Linux-kernel is) en tot vier keer toe software van Adobe (Acrobat, Acobat DC en Acrobat Reader). Android is volgens de CVE-telling de kwetsbaarste, nadat vorige jaar die twijfelachtige eer ging naar OS X en het jaar daarvoor naar Internet Explorer.
Verder staat qua bedrijven Oracle bovenaan als leverancier van de meeste kwetsbaarheden (793 CVE's) in software in producten als Solaris en MySQL. Oracle wordt gevolgd door Google (698), waar Android dus grotendeels verantwoordelijk is voor de bugs. Op de derde plaats staat Adobe met in totaal 548 kwetsbaarheden in software als diens PDF-lezer en Flash-plugin.
Daar hebben we het jaarlijkse volstrekt irrelevante, Windows minded, lijstje weer.
Is eigenlijk meer een linux centered lijstje ;)
Hm. Android is alle Android op een Hoop..., Windows is per versie uitgeslpitst.
Dus OF Alle windows ook op een hoop, OF Android ook uitgesplitst vergelijken...
(Of alleen de laatste versies vergelijken,, Android 7 / Windows 10)...
En enkele producten vs. een hele distributie is ook scheef.
Veel van de Linux Kernel issues zullen ook op het konto van Debian etc. staan (als er goed geteld is).
Vergelijkingen op dit gebied zijn vrijwel onmogelijk, zeker om te bepalen of iets meer of minder "secure" is, just doordat alles zo op een hoop gegooid wordt.
Daarnaast zijn alle gemelde issues wel of niet gefixed en hoe lang is misbruik mogelijk geweest. Een metric waarbij alleen het aantal meldingen geteld wordt is niet heel bruikbaar.
Als we de gedachte volgen die hier aangehoangen wordt door sommigen dat Android ook linux is kunnen we natuurlijk ook alle linux versies op een hoop gooien. Dat zal in de top tien beste een interessante wijziging opleveren.
Klopt. Dat toont alleen maar de waanzin van dergelijke lijstjes aan.
Ook dat punt is reeds genoemd en was voorspelbaar. Lijstjes gelden alleen als het over Windows gaat merk ik elke keer weer.
Maar het geeft een aardige indicatie over gefixte lekken en de regelmaat waarop ze optreden. Da tis OS ( en applicatie) onafhankelijk.
Daarnaast is het een prima weerlegging van de voortdurende fantasie die hier in leven gehouden wordt dat Linux veiliger is dan elk ander OS.
Jouw analyse deugt niet (is alleen bedoeld om anderen in het harnas te jagen), want het gaat natuurlijk om code execution, harde penetratie en geen DoS. Het bewijs van de baas zelf, wordt elke maand geleverd: [Link] en dat is nog maar het topje van de ijsberg.
Dat zijn inderdaad de bugs die gerepareerd worden. Als ik wekelijks mijn autoupdate van debian bekijk doet die daar niet veel voor onder. Helaas zijn daar wel pakketten die nooit meer een update krijgen maar wel standaard meegeleverd zijn bij install.
Dus ik jaag niemand in het harnas ( behalve blinde linux fans, die hun kop in het zand steken) maar signaleer de realiteit. Dat lijstje is een aardige illustratie daarvan.
Kijk gewoon even naar de vele patches van de linux kernel ( gelukkig trouwens, anders was het helemaal een onveilig systeem)
Je lijkt het niet te willen snappen of het is aan dovemansoren gericht. Bugs met een kwalificatie kritiek, betekent dat kwaadwillenden met admin/root rechten willekeurige code kunnen opstarten. Dat kom je niet vaak tegen in een Linux omgeving maar wel elke maand in een Windows omgeving.
Als je het lijstje er weer bij pak: [Link] zie je dat de helft DoS is. Dat is geen lek maar kan wel vervelend zijn.
Dat er verder veel gerepareerd moet worden in een systeem wat erg in ontwikkeling is m.b.v. jan en alleman, is logisch en dat gebeurd ook nog eens in alle openheid en bij Microsoft helaas niet (zij treedt alleen naar buiten als ze gedwongen wordt).
Je blijft je onzin maar herhalen in de hoop dat iemand het gaat geloven vermoed ik.
Er worden met grote regelmaat ook bij Linux grote en kritieke bugs geplet.
Gelukkig maar, anders was het een nog onveiliger systeem.
Met ruim 22 miljoen regels code uit allerlei hoeken van de commerciele wereld en de niet gebonden open source community ook heel logisch. Het is tenslotte een giga spaghetti bol geworden met veel potentiele kwetsbaarheden.
[Link]
En openheid en vriendelijkheid .. sysetmd anyone ;)
of deze
Nog steeds even actueel!
Vooruit nog eentje dan voor de echte jehoveas
Dat jij de Microsoft security bulletins en de cvedetails waar je zo vol van was als onzin bestempeld past wel een beetje bij je.
De Linux kernel heeft ook ktitieke issues, dat ontkent niemand. Ze zijn alleen niet zo talrijk als bij Windows en kritiek is wat binnenkomt, niet de DoS
Je Con Kolivas citaat is best wel zielig. Is namelijk al lang achterhaald. Hij is namelijk weer begonnen:
Will I be maintaining this, even though mainline won't have it?
Yes.
Verder is je reactie natuurlijk weer zo off topic en geen reactie op de inhoud. Standaard Zorba gedrag.
Aantal zegt allemaal niet zo veel. B.v. XP is zo lek als een mandje maar komt in het lijstje niet voor. Een B52 met duizenden bommen richt niet zo veel schade aan als 1 kernraket.
M.a.w. je moet vooral naar de severity van de bugs kijken. Verder weet je van de open source projecten dat de vuile was buiten wordt gehangen, juist ook om bugs te kunnen vinden en oplossen. Bij gesloten software zie je dus alleen het topje van de ijsberg.
Van belang is ook hoe snel een security bug wordt opgelost.
Check V
Wilde je alle superlekke verouderde Linux kernel versies er ook bij gaan halen dan?
Ligt er natuurlijk aan wat je gaat bombarderen ;)
Maar als je bedoelde dat het minimale gebruik van Linux op de desktop hier een positief effect heeft op de veiligheid dan heb je beslist een goed punt!
Check V
Ordinaire ruzies vormen inderdaad de basis voor heel veel zinloze afscheidingen van bekende software.
Komt inderdaad sporadisch voor. Met name als er jaren overheen gaan en iemand in opdracht specifiek zoekt naar de gaten.En de rest word tinderdaad onder water keurig gerepareerd.
Check V
en..
Ja, er staan bij de bekende Linux bugs in 2016 diverse die reeds vele jaren bestonden voordat men ze bij toeval of gericht gezocht vond. Heel snel inderdaad.. (einde sarcasme mode)
Snel na ontdekking?... Blijkbaar zijn er enkele dingen opgepakt nadat het onderzoek van de afgelopen jaren achter gebleven was.
Verder voor werkelijk secure omgevingen: OpenBSD of OpenVMS, die zijn beide ontworpen gebouwd en geaudit voor security.
[Link] resp. [Link] (147 resp. 16)
Lijkt me logisch. XP wordt niet meer ondersteund. Als we alle niet meer ondersteunde software in deze lijst zouden opnemen, dan zou de lijst er heel anders uitzien.
Excuse moi. Verkeerd geplaatst..
Aantal Uber opties.
1: ontkennen onderzoek
2: in discrediet brengen onderzoeker, banden aantonen met...
3: geen reactie, negeer ongewenst nieuws.
4. Bagatelliseren uitslag
Zit ook alweer te wachten op zijn reaktie :).
Android verbaast me niet. Ik "schrok" eerlijk gezegd van plaats 2 & 3 van Debian en Ubuntu.
Ik heb het onderzoek zelf er nog niet bijgepakt, maar het zou mij weinig verbazen mits de telling de complete package repository zou meetellen. Dat is bij die twee distributies namelijk nogal veel.
Verder is er dus een reden waarom ik een grote voorkeur heb voor FreeBSD boven Linux en Windows. Dat de Linux-kernel vrij hoog eindigt, verbaast mij persoonlijk niet zo.
is de Linux-kernel dan zo vatbaar voor security issues?
Relatief gezien wel. Deze kernel wordt sneller ontwikkeld en is groter dan die van FreeBSD. Dat vergroot het aanvalsoppervlak en het verloop in de code is sneller, dus er zit relatief gezien meer onvolwassen code in. Zolang het niet functioneel noodzakelijk is, kies ik daarom voor de optie met het kleinere contactoppervlak en de lagere change-rate.
Veel van de issues zijn in de ontwikkel kernels, LTS heeft er minder last van hoewel er een paar issues zijn die juist ontstaan zijn door een backport van een Fix uit de ontwikkel kernel.
Het is helemaal geen onderzoek. Het is een "aantal" opsomming van de standaard www.cvedetails.com Dezelfde database geeft ook een gewogen gemiddelde:
[Link]:
Hier komt de Linux kernel als laagste uit de bus, nog onder FreeBSD :) Solaris zit er nog net tussen. Dit lijstje geeft een beeld zoals we het herkennen met Adobe en Microsoft de slechtste scores.
Linux Kernel 1564 CVE's, FreeBSD (een compleet OS) 322. Ik weet wel welk OS ik blijf inzetten.
Met dank aan Outsider de goede link: [Link]
Hier zie je met 1 meer (323 CVE's) de Linux Enterprise Desktop. Dan zou ik toch deze nemen als het echt alleen om aantallen zou gaan ;-)
Je foute link ( hier de juiste: [Link] )
Is eigenlijk gewoon een fraaie lijst.. die niet afwijkt van dit artikel.
Leuk ook om te zien hoe je favoriete Firefox het daar doet. Je hebt inderdaad een bedenkelijke keuze van software, dat is wel duidelijk.
En weer geen inhoudelijke reactie, Het is blijkbaar jouw manier om aan te geven dat ik gelijk heb.
Ik tel reeds drie van de genoemde punten.
Je had jezelf dus veel typewerk kunnen besparen ;)
@Zorba 12:35 waarom nou gelijk op de man spelen heb je geen argumenten dan.
De argumenten staan in de onderzoeksgegevens. Die hoef ik niet te herhalen.
Verder heb je wel een punt, maar kennlijk ken je Uber nog niet zo goed .
Welke onderzoeks gegevens? er is een lijstje niet gerelateerde opsommingen, kortom een stapel appels vs. een stapel peren vs. pruimen.
Hé, geen Windows in de top 10.
De eerste Windows-versie is Windows 10 op plaats 14.
Reageer
Preview