Microsoft is niet de grootste veroorzaker van kwetsbaarheden voor de gemiddelde gebruiker van Windows. Dat blijkt uit onderzoek van het Deense beveiligingsbedrijf Secunia. Slechts 31 procent van de kwetsbaarheden wordt veroorzaakt door fouten van de softwaregigant. De overgrote meerderheid wordt dus veroorzaakt door software van derden.

Twee keer minder sinds 2006

Dat is opvallend omdat in de top 50 van meest gebruikte software voor Windows een meerderheid wel van Microsoft is. Die meerderheid is weliswaar nipt: 26 van Microsoft tegen 24 van anderen. Helaas vertelt Secunia niet om welke applicaties het hier exact gaat.

Een jaar eerder noemde het beveiligingsbedrijf wel leveranciers. Toen had Apple het stokje overgenomen van Sun-eigenaar Oracle, die met vooral Java verantwoordelijk was voor de meeste kwetsbaarheden. In het tussenstandrapport van 2010 (PDF) heeft Apple de nummer één positie 'veroverd' door een stijging van het aantal eigen gaten tegelijk met een daling van het aantal in Oracle-software.

Wat betreft gaten in software van derden op Windows was de Safari-browser van Apple de nummer twee, na Mozilla's Firefox. Apple's iTunes stond op de negende plaats. Daar tussen staat Java, Google Chrome, en de Adobe-producten Reader, Acrobat, Flash Player en AIR. "Deze analyse ondersteunt ook de perceptie dat een groot marktaandeel samengaat met een hoog aantal kwetsbaarheden. Apple (iTunes, Quicktime), Microsoft (Windows, Internet Explorer) en Sun Microsystems (Java)", schreef Secunia een jaar geleden.

Het lijkt er door het onderzoeksrapport van dit jaar in ieder geval op dat Microsoft beveiliging serieuzer neemt. In 2006 kwam namelijk nog zo'n 55 procent van de kwetsbaarheden door programmatuur van dat bedrijf. Sinds 2007 is dat aandeel gaan dalen ten nadele van de concurrenten van de softwarereus uit Redmond.

Flinke stijging gevaarlijke bugs

Secunia meldt niet langer welke leveranciers dan voor de meeste kwetsbaarheden zorgen. In het verslag over 2010 deed het bedrijf dat nog wel. Toen stonden Apple, Oracle, HP en Adobe naast Microsoft in de top vijf van bedrijf met de meeste kwetsbaarheden in haar software. Firefox werd gevolgd door Safari en de Java virtuele machine als software met de meeste kwetsbaarheden.

Het aantal kwetsbaarheden waardoor een aanvaller kan inbreken op een pc is de afgelopen jaren wel enorm gestegen, zo weet Secunia. Was een modale computer in 2007 nog aan te vallen via 225 kwetsbaarheden, afgelopen jaar waren er dat liefst 729. Secunia noemt dit in haar rapport een “zeer verontrustende trend".

80% is eenvoudig te dichten

Het totaal aantal gemelde lekken is in die tijd wel minder geworden. Dat betekent dat lekken nu gemiddeld vaker misbruikt kunnen worden om op een pc in te breken. Overigens meldt Secunia dat 80 procent van die lekken is op te lossen door simpelweg de 37 meest geïnstalleerde programma's of de 12 belangrijkste te patchen.

Secunia telt in haar onderzoek overigens slechts de bekende kwetbaarheden in de vijftig meest gebruikte applicaties. Hoe deze te misbruiken zijn en hoe snel de uitgever van de software deze gaten dicht wordt niet meegenomen. Een leverancier die slechts één gat kent dat zeer gevaarlijk is en niet wordt gepatcht doet het dus in deze test beter dan een leverancier met een groot aantal gaten van weinig waarde die bovendien snel worden gedicht.

Update: Verduidelijking toegevoegd over de rol van Apple wat betreft beveiligingsgaten in zijn software.