Niet Flash, Java of Internet Explorer hadden de meeste lekken. De software waarvan gezegd wordt dat ze zo lek als een mandje zijn leggen het af tegen Mac OS X en iOS – van Apple. Al is de manier waarop dit gemeten wordt wel twijfelachtig.
Dat blijkt uit een overzicht op CVE Details dat een ranglijst maakte van de 50 producten met de meeste in 2015 geconstateerde kwetsbare plekken. De informatie is ontleend aan de Common Vulnerabilities and Exposures-databank die bijgehouden wordt door Mitre. Daar wordt informatie over bekende lekken beschikbaar gemaakt voor algemeen gebruik door software-ontwikkelaars en beveiligers.
Mac OS X naar top van de ‘ranglijst aller tijden’
Mac OS X gaat aan kop met 384 geconstateerde lekken. Daarmee wurmt het zich naar de top van de ranglijst ‘aller tijden’ (Mitre verzamelt de cijfers sinds 1999) met 1376 geconstateerde kwetsbare plekken. iOS staat in 2015 nummer twee met 375 lekken. Bij de besturingssystemen blijven de Apple-producten daarmee Windows ruim voor. De Windows-variant met de meeste gevonden lekken in 2015 – Windows Server 2012 – telde er 155, de Linux-variant waar in 2015 de meeste lekken in werden gevonden (Ubuntu) 152. Nog opmerkelijker: in het algemeen om zijn onveiligheid verguisde Android werden in 2015 ‘slechts’ 130 lekken geconstateerd.
Flash met 314 lekken derde
Bij de applicaties scoort – het zal niet verrassen – Flash hoog. Met 314 lekken staat het derde. De verschillende Air-varianten van Adobe scoren posities 4 tot en met 6 met rond de 240 lekken. Bij de browsers is Internet Explorer nog steeds een rijke vindplaats: 231 lekken in 2015 geconstateerd. In Chrome werden er 187 gevonden, in Firefox 178 en in Safari 135.
CVE Details telt het aantal lekken ook op per leverancier. Dan staat Microsoft bovenaan, met 1.590 geconstateerde lekken. Adobe is nummer twee, met 1.504 lekken en Apple nummer drie met 1.147 lekken. De telling geeft overigens wel een vertekend beeld, doordat per onderscheiden product is geteld. Adobe komt met name zo hoog door de 246 geconstateerde lekken in Air, de software developers kit voor Air en de compiler, grotendeels dezelfde lekken, maar wel drie maal meegeteld. De aanwezigheid van 9 Windows-varianten in de lijst infleert het aantal aan Microsoft toegekende lekken eveneens op onnatuurlijke wijze.
Forse toename in geconstateerde lekken
Belangrijker is wellicht de constatering dat het aantal geconstateerde kwetsbaarheden fors is toegenomen, in 2015. In de 50 producten met de meeste geconstateerde kwetsbaarheden werden opgeteld 5.915 lekken geconstateerd. In 2014 waren dat er 2.963 en in 2010 2.630. Overigens zijn in deze cijfers wel dubbeltellingen begrepen van lekken in softwarecomponenten die verschillende producten delen, maar dat alleen verklaart de enorme toename niet. De toename betekent overigens niet dat er steeds vaker broddelwerk wordt afgeleverd. Soms zal dat het geval zijn, maar de gevonden lekken geven ook aan dat softwareproducenten hun producten goed blijven inspecteren.
Daarbij zegt het aantal lekken lang niet alles. Een groot lek dat pas laat gedicht wordt, is uiteindelijk veel schadelijker dan een aantal kleine lekken die snel gedicht zijn. Daarbij kan je bij manier waarop CVE Details de lekken telt vraagtekens plaatsen.
Bron: Automatiseringgids
