Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 106 reacties, 29.712 views •

Er worden steeds meer kwetsbaarheden ontdekt in browsers, blijkt uit een rapport van het Nationaal Cyber Security Centrum van de Nederlandse overheid. Vorig jaar werden 623 kwetsbaarheden in browsers geregistreerd, terwijl dat er een jaar eerder nog 509 waren.

Uit een grafiek in het rapport van het Nationaal Cyber Security Centrum blijkt bovendien dat Google Chrome vorig jaar de meeste gerapporteerde beveiligingsproblemen bevatte, namelijk 258. Directeur Wil van Gemert van het NCSC tekent aan dat Google juist ook een van de bedrijven is die het best reageert op meldingen van beveiligingsproblemen. Bovendien moedigt Google onderzoekers actief aan om kwetsbaarheden te melden en worden die onderzoekers financieel beloond, wat een verklaring kan zijn voor het grotere aantal gerapporteerde beveiligingsproblemen. In Firefox werden vorig jaar 183 beveiligingsproblemen ontdekt; in Safari 86. Het aantal browserexploits dat werd ontdekt, nam overigens juist af: vorig jaar waren dat er 16, terwijl dat er in 2010 nog 84 waren.

Vorig jaar telde het NCSC ook veel meer beveiligingsproblemen in content-management-systemen: 86, terwijl dat er een jaar eerder nog ruim 20 waren. Vooral in Wordpress, Joomla en Typo3 werden veel beveiligingsproblemen gevonden. Een deel van de fouten bevindt zich echter in plugins van andere partijen, en niet in het cms zelf. Uit onderzoek van het NCSC blijkt verder dat een meerderheid van de websites niet de laatste versie van zijn cms gebruikt: slechts 38,6 procent is geheel up-to-date. Iets meer dan 16 procent loopt één versie achter en 45,2 procent loopt minimaal twee security-updates achter.

Steeds meer kwetsbaarheden in browsers

Kwetsbaarheden in browsers vormen echter niet de grootste dreiging voor de overheid en het bedrijfsleven, claimt het NCSC. Dat zijn digitale spionage en cybercrime. Zo worden overheden en bedrijven aangevallen door criminelen, bijvoorbeeld door gebruik van malware. Volgens het rapport worden criminelen steeds brutaler, bijvoorbeeld door schokkende beelden op te nemen in ransomware, virussen die de pc van een gebruiker blokkeren totdat een betaling is verricht. Daarnaast worden overheden en bedrijven aangevallen door andere overheden, bijvoorbeeld China, Rusland, Iran en Syrië. Van Gemert kan niet toelichten of die landen zich ook specifiek op Nederland richten.

Het centrum, dat is opgericht om de Nederlandse overheid en de kritieke infrastructuur tegen digitale aanvallen te beschermen, tekent bovendien aan dat eindgebruikers veel verantwoordelijkheden in de schoenen krijgen geschoven bij beveiliging. Steeds vaker kan een burger daar echter weinig tegen doen, omdat hij geen invloed heeft op de kwetsbaarheid van een systeem of doordat hij er te weinig van weet, aldus het rapport.

Reacties (106)

Reactiefilter:-11060101+165+213+31
Moderatie-faq Wijzig weergave
Verassend dat er zo weinig lekken zijn in IE; de algemene gedachte (in ieder geval in mijn IT-kringen) is dat je Chrome of Firefox gebruikt om minder kwetsbaar te zijn voor de 'zo lek als een mandje' browser van Microsoft.

Misschien gewoon een gedachte uit het verleden toen het meeste aan rommel je systeem binnenwandelde via ActiveX, iets waar de andere browsers niet aan deden.

Erg verhelderend als ik het artikel goed intrepeteer. :o

[Reactie gewijzigd door Pakjebakmeel op 3 juli 2013 14:03]

De getoonde grafiek geeft op zijn minst een vertekend beeld van het volledige rapport. Er worden meerdere punten aangelicht; waaronder het hierboven genoemde aantal kwetsbaarheden, maar daarnaast ook het aantal daadwerkelijke exploits.
Zoals eerder is beschreven, neemt het aantal kwetsbaarheden in browsers steeds verder toe. Op basis hiervan zou men kunnen verwachten dat ook het aantal beschikbare exploits voor browsers stijgt. Dit blijkt echter niet het geval. Figuur 12 toont het totaal aantal exploits dat beschikbaar is voor de browsers zoals eerder ook al beschreven bij de kwetsbaarheden.

Uit deze figuur blijkt dat het aantal browserexploits een toppunt bereikte in 2010 (84 exploits) en daarna zeer snel afnam tot slechts 16 in 2012.
In deze grafiek (zie bron) liggen de verhoudingen heel anders; meer dan 50% van de exploits is voor IE, de rest voor Firefox en Safari. Chrome komt er niet eens in voor.

Kortom; het is een heel boeiend onderzoek maar dit nieuwsbericht is mijns inziens te kort door de bocht om het onderzoek correct samen te vatten.
Voor mensen die aan het zoeken zijn, het staat op pagina 88 van de pdf.
Totaal 16 exploitkits: 1. IE, 2. Firefox, 3.Safari (versies staan niet vermeld!)

Pagina 89 exploit gericht op product:
Exploit gericht op: 32% Java, 18% IE, 17% Flash, 15% Acrobat Reader, 6% Windows, 3% Firefox
Ben ik toch niet helemaal met je eens, Zoefff.

Makers van exploits kijken niet alleen naar de huidige kwetsbaarheden, maar houden ook rekening met marktaandeel, updatebeleid en gebruik van oude versies door gebruikers. Met andere woorden: Wat is de kans dat de exploit doel treft (nu en in de toekomst).

Daarom zijn er zoveel exploits voor java (redelijk marktaandeel, slecht updatebeleid, veel gebruik van oude versies) en IE (groot marktaandeel, oude versies) en minder voor safari (laag marktaandeel) en chrome (actief updatebeleid).

Dit bovenstaande is "oud nieuws" en weet iedereen ondertussen wel.
(Voor mij de reden om java te de´nstalleren en IE gebruik te beperken)

De nieuwswaarde van dit artikel is dat tegen de verwachtingen in (mijn verwachtingen in ieder geval) dat het aantal kwetsbaarheden in browsers niet afneemt. Dit geeft een goede indicatie voor het aantal toekomstige exploits op verschillende browsers.

Voor mij is dit het echte nieuws, en daarom vind ik deze grafiek geen vertekend beeld geven van het artikel.

[Reactie gewijzigd door spuit111 op 3 juli 2013 15:46]

Lies, damned lies and statistics. Tabel zegt namelijk helemaal niets over aantal gebruikers of hoe lang een lek open blijft.
Daarnaast stimuleert chrome zijn gebruikers om lekken te rapporteren tegen een som geld en heeft Firefox een heel actieve gebruikersgroep die ook beloond worden.

Microsoft zal dat vanaf dit jaar ook gaan doen, dus de statistieken voor dit jaar weer totaal anders zijn.
De cijfers komen uit een rapportage van het NCSC en dat staat nou niet echt bekend als vooruitstrevend als het gaat om preventief/proaktief op zoek te gaan naar problemen of lekken in software.

Daarnaast is het NCSC regelmatig druk bezig met overheidsgerelateerde "lekken". Zonder een handvol ambtenaren tekort te doen, staat de overheid zelf niet echt vooraan als het gaat om het detecteren, melden en (laten) patchen van allerlei zaken.

Het rapport is dus, zoals je zegt, mogelijk een stuk theoretische statistieken maar is zeer waarschijnlijk niet gestaafd op de 0day-vulnerabilities die proaktief door verschillende browser-developers worden getest, beloond & gedicht.
Betreffende het zoeken naar kwetsbaarheden:

Vergeet niet dat er een hele hoop grote bedrijven, overheden en defensie-organisaties zijn die Internet Explorer gebruiken. En reken maar dat die actief op zoek gaan naar kwetsbaarheden in de software die zij gebruiken.
In Chrome worden meer lekken gevonden. Dit komt door de programma's van Google die beloningen uitloven voor het aantonen van lekken. Ik durf hier zelfs uit te concluderen dat IE, safari, Opera en Firefox veel onontdekte lekken bevatten.
Jou visie zou kunnen kloppen inderdaad. Helaas zit er niet een 2de grafiek bij met hoe snel de gevonden lekken gemiddeld gedicht worden per browser.

Chrome wordt aardig vaak ge-update, IE is hier wat trager mee naar mijn mening. Dus eigenlijk zouden ze dit ook moeten onderzoeken om aan te tonen welke browser nou langer kwetsbaarder is. Dat is in mijn ogen de meest onveilige browser.
Haha, ja hoor :) geloof wat je wil :)

Dit soort programma's dragen eraan bij, maar aan het groot aantal lekken te zien word zeker nog geen kwart gevonden in dit soort programma's :P
Dit en die hacking competitie prijzen zijn vaak erg laag vergeleken wat je ervoor kan krijgen op de zwarte markt.
De wens is de vader van de gedachte ;)
zware beschuldiging die je op niets gebaseerd heb. dat is toch wel jammer voor iemand op tweakers. normaal word het dan tenminste nog onderbouwd, jij kun aan de hand van een lijstje concluderen dat browsers die in deze test goed uit de bus komen veel onontdekte lekken bevat.
die visie dateert echt wel nog uit het IE6 tijdperk ( wat toen trouwens ook gewoon volledig klopte )
Sinds IE7 heeft Microsoft zich echt herpakt en zwaar aan de security van de browser gesleuteld.

Momenteel is IE een van de veiligste browsers in gebruik en sinds een paar versies ook steeds meer en meer compliant aan de standaarden
IE is inderdaad stukken beter geworden qua beveiliging. De voornaamste reden dat ik IE niet gebruik heeft dan ook niets met kwaliteit van de browser te maken, maar meer met dat ik IE net niet fijn vind werken qua interface.

Dat in chrome zo veel lekken zijn gevonden kan ik me ook wel iets bij voorstellen, voornamelijk vanwege zaken als de implementatie van websockets en de integratie van je google account.
In de tijd van ie6 was alles een security hol. Beveiliging werd toen nog niet echt aan gedaan, tenminste voor consumenten. Als er wat mis was ging alles blauw en installeerde je de boel opnieuw.
ie desktop is niet bar veel veiliger , als het al is, dan de andere 3. Het is meer een kwestie van pech voor driveby's.
maar goed, draai ie in modern of onder 64 enhanced protection. Lekker pluginlos browsen, maar persoonlijk erg fijn voor bankieren enzo.
persoonlijk gebruik ik internet explorer niet omdat het niet zo goed omgaat met webstandaarden, wat misschien inmiddels ook al weer een achterhaald idee is.
ik begrijp natuurlijk wel dat in de programma's waar de meeste wijzigingen in worden aangebracht ook automatisch veel fouten en/of beveiligingslekken zullen bevatten, dit komt voor mij dan ook niet als een schok. wat dan wel weer raar is is dat ze in de tussentijd steeds maar nieuwe features toevoegen, terwijl oudere, eerder geimplementeerde features nog niet eens helemaal veilig zijn.
De huidige IE gaat minstens net zo goed om met webstandaarden als chrome, hell, die beginnen zelfs zich meer trekjes te vertonen van IE6 door hun eigen dingen te willen doorzetten dan anders.. En vergeet niet dat HTML5 nog steeds in ontwikkeling is, en er dus nog geen vaste standaard er voor is, hence het nodige gebruik van vendor-prefixes.. tja, en hoe kun je nou zeggen dat iets de standaard niet volgt als de standaard zelf nog geen definitieve standaard is...
Er is geen enkel browser die goed omgaat met de standaarden. Alleen al -webkit- -ms- -o- -moz- voor css lijkt me al een signaal dat al die browsers hun eigen interpretaties geven.

In feite moet er maar 1 engine zijn die alles op een gelijke manier rendeert en afhandelt. Geld idem voor de talen. Tot die tijd blijft het een puinhoop en rotzooi in de wereld van websites. De grote bedrijven moeten gewoon gaan samenwerken ipv concurreren om dingen eens een keer op fatsoenlijk niveau te krijgen.
De verschillende voorvoegsels komen voornamelijk door CSS-rules die de browserbouwers zelf hebben toegevoegd maar dit geen onderdeel zijn van de CSS-standaard.
Dat heeft dus niks met de standaard zelf te maken of het volgen hiervan, het is een eigen uitbreiding op.

Dat bepaalde toevoegingen dusdanig handig blijken te zijn in de praktijk dat men die overneemt van elkaar is iets anders dan 'men volgt de standaard niet'.

--edit: typo

[Reactie gewijzigd door Raventhorn op 6 juli 2013 00:01]

Ik vraag mij af hoe ze hier bij komen.

Als ik het zo bekijk dan gaat het waarschijnlijk alleen echt om de browers zelf en niet de browser i.c.m Flash of Java.
Waarschijnlijk zijn hier ook alle kleine bugs in meegenomen die enkel de browser crashen

Als men even snel kijkt naar een overzicht van (publieke)exploits vorige jaar voor IE/FF/Chrome met als eind punt code execution dan komt IE toch echt als slechtste uit de bus.

IE:
Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability
Microsoft Internet Explorer execCommand Use-After-Free Vulnerability
Microsoft Internet Explorer Fixed Table Col Span Heap Overflow
MS12-037 Internet Explorer Same ID Property Deleted Object Handling Memory
MS10-002 Internet Explorer Object Memory Use-After-Free
Microsoft Internet Explorer JavaScript OnLoad Handler Remote Code Execution

Firefox:
Firefox 8/9 AttributeChildRemoved() Use-After-Free
Firefox 7/8 (<= 8.0.1) nsSVGValue Out-of-Bounds Access Vulnerability
Mozilla Firefox Firefox 4.0.1 Array.reduceRight()
Mozilla Firefox 3.6.16 mChannel use after free vulnerability

Chrome:
-

Dus zoals ik al zei.
Ik vermoed dat het hier enkel om browser bugs gaat.
Als Flash of Java erbij komt kijken dan word het al een heel ander verhaal aangezien Internet Explorer vaak de drive-by attacks gewoon doorlaat komen
Vervelende van Chrome vind ik dat het standaard RC4_128 gebruikt voor een TLS verbinding ipv AES. Nog vervelender is dat er geen instelling is om de voorkeur te geven aan AES
IE heeft de slechtste naam maar komt in dit overzicht helemaal niet zo slecht uit de bus.
IE laat zelfsin 2012 het minste aantal nieuwe kwetsbaarheden zien van alle browsers!

Google bevat de meeste, maar brengt ook geregeld nieuwe versies uit, dus het kan zomaar zijn dat de kwetsbaarheden er toch korter inzitten, dan bij een andere browser (IE) die er wat langer over doet om deze te herstellen.

Echter, Google introduceert dus ook in een rap tempo nieuwe gaten, en dus nieuwe kansen voor hackers om inspiratie op te doen :)

Een grafiek met het gemiddeld aantal uitstaande gaten per dag zou verhelderend zijn om te kunnen bepalen hoe erg of hoe goed het nu daadwerkelijk is met deze browsers en onze 'veiligheid'...
IE laat zelfsin 2012 het minste aantal nieuwe kwetsbaarheden zien van alle browsers!
Het minst aantal gerapporteerde kwetsbaarheden, inderdaad.
Dat betekent echter niet dat er ook minder kwetsbaarheden in zitten, alleen dat er minder bekend zijn.
Google bevat de meeste...
Google heeft het grootste aantal gerapporteerde kwetsbaarheden. Wat waarschijnlijk ook komt door, zoals hierboven al meerdere malen aangegeven, de programma's die Google opstelt en de beloningen die aan het melden van gaten hangen.

Het is dus best mogelijk dat IE meer gaten heeft dan Chrome.
Echter, Google introduceert dus ook in een rap tempo nieuwe gaten, en dus nieuwe kansen voor hackers om inspiratie op te doen :)
En vervolgens zitten deze gaten er maar een zeer korte tijd in waardoor de zojuist opgedane inspiratie weer teniet gedaan wordt.
Kunnen ze wÚÚr opnieuw beginnen... :+
Een grafiek met het gemiddeld aantal uitstaande gaten per dag zou verhelderend zijn om te kunnen bepalen hoe erg of hoe goed het nu daadwerkelijk is met deze browsers en onze 'veiligheid'...
Dat geeft een net zo vertekent beeld als wat deze grafiek geeft.

Het aantal uitstaande gaten per dag is afhankelijk van het aantal gemelde gaten; immers, gaten die niet bekend zijn kunnen niet worden meegenomen in de grafieken.
Daardoor kan een browser die gigantisch lek is (zeg, IE6) goed uit de bus komen, terwijl een browser waar het melden van kwetsbaarheden beloond wordt (zeg, Chrome of Firefox) juist veel gaten heeft en er dus 'slecht' uit komt. Immers, het dichten van lekken kost ook tijd..

Een dergelijke grafiek moet allerminst laten zien hoeveel gebruikers er zijn, hoeveel gaten er bekend waren op een bepaalde datum, hoeveel er daarvan al bekend waren en hoeveel er nieuw zijn. Dan pas kom je aardig in de buurt van een 'eerlijk vergelijk'.
En vertel nu eens heel eerlijk wat je zou vertellen als IE het meeste aantal gerapporteerde kwetsbaarheden had gehad?
Had je dan ook dit verhaal gehouden, of was je er dan wel vanuit gegaan dat IE meer kwetsbaarheden had?
midden in de roos. nu IE in dit nieuws goed uit de bus komt gaan we met zn allen beginnen dat het hier gevonden exploids bevat, en dat IE er wel meer zal hebben, maar dat die nog niet gevonden zijn. als het chrome was geweest zou dit nooit een issue zijn geweest en zou tweakend nederland het als feit zien dat chrome het veiligste is.
Er zijn denk ik niet voor niks zoveel over gestapt op een andere browser.
Maar wat als je nu eens de virusscanner uitzet, hoeveel bugs en kwetsbaarheden zijn er dan?
Hoe moeilijk is het om een artikel te interpreteren? De hoeveelheid lekken die gemeld worden is natuurlijk niet 1:1 met de hoeveelheid lekken die daadwerkelijk in de software zitten. Bij Chrome is er ook nog een dikke kans dat potentieel kwaadwillenden in plaats van het lek te verkopen het toch bij Google melden vanwege de beloning die eraan vast zit.
Bovendien heeft IE veel beschermings lagen die het moelijker maken om gevonde lekken te exploiteren.
Ook chrome heeft bijvoorbeeld sandboxing om gevonden lekken moeilijker exploiteerbaar te maken.

Niet elk lek in een browser vormt dus ook meteen een groto risico.

[Reactie gewijzigd door hAl op 3 juli 2013 14:13]

Daarnaast worden overheden en bedrijven aangevallen door andere overheden, bijvoorbeeld China, Rusland, Iran en SyriŰ.
En de Verenigde Staten...
Exact wat mij direct opviel toen ik die zin las.

Snap ook niet waarom de VS in dat rijtje niet genoemd wordt ?
Die grafiek laat dus precies niets zien. Opera heeft veel minder gebruikers dan de rest en men gaat dus niet zo vaak op zoek naar kwetsbaarheden.

Internet Explorer is nog vrij veel gebruikt maar is steeds verder uitontwikkeld

Firefox blijft zo'n beetje stabiel qua kwetbaarheden

En voor Chrome worden steeds meer kwetsbaarheden gevonden omdat Google mensen actief aanspoort om ze te vinden.
de grafiek laat wel degelijk iets zien: "Historie van nieuwe kwetsbaarheden in browsers tussen 2005 en 2012"
-----------
Ik gebruik Google Chrome niet eens uit veiligheid, maar eigenlijk de gebruiksgemak.

Als internet Explorer ook tabs, geschiedenis, gebruikersnamen en wachtwoorden, andere invoervelden en bezochte links zou synchroniseren tussen Windows 8 en Windows Phone 8, dan zou ik ¤nternet Explorer ook op me Windows 8 device gebruiken. Nu gebruik ik Chrome op windows 8 en internet explorer op WP. Best kut, want de Chrome werkt op touch "metro" veel minder lekkerder dan IE10. Ook zijn bepaalde extensies er niet in IE10

[Reactie gewijzigd door Mocro_Pimp« op 3 juli 2013 14:13]

Maar ook dat zegt eigenlijk niet zo veel behalve de exacte zin die je quote. En wat hebben we daar aan?

Het kan zijn dat er minder lekken zijn maar actiever gezocht wordt waardoor er dus alsnog meer gevonden worden. De data kan op allerlei manieren geinterperteerd worden, en dat is jammer, dat had imho verder uitgezocht kunnen worden...

Eigenlijk mis ik de rede er achter dus, hetgeen echt betekenis heeft...
Volgens mij synchroniseert w8 al aardig wat met wp8.
In ieder geval mijn wifi netwerken en wachtwoorden en volgens mij ook wachtwoorden van websites.

Je moet je pc wel met een trust verbonden hebben aan je microsoft account.
Je bezochte websites word ook gesynced, favorieten ook. Je Quick type in de adresbar word zelfs gesynced.
gebruikers namen en wachtwoorden niet, maar persoonlijk hoeft dat ook niet.
In mijn ogen is ie nooit slechter geweest in the opzicht van beveiliging en de snelheid vind ik ook niet echt verschillen tussen bijv. chrome.

Ik moet ze helaas wel allebei gebruiken omdat bijv mijn school (fontys) een nieuwe website heeft gelanceerd die niet werkt met firefox en chrome (scrollen werkt niet)

Belangrijkste en voor mij enige pluspunt is het syncen tussen verschillende locaties en dat ik nooit meer mijn favoriten hoef te backupen.
Dan doet Microsoft het nog niet eens zo slecht op browsergebied. Meestal hoor je dat IE zo lek als een mandje is en dat Firefox en/of Chrome veel beter zijn.
Tja, mijn eerste ervaring toen ik besloot om IE links te laten liggen en alleen nog maar te werken met Firefox was een Exploit. Na jaren wint intensief IE gebruik had ik met FF binnen een week een exploit binnen bij het zelfde gebruik. Sinds dien geen FF meer (2003 was dat). 2 jaar geleden over naar Chrome, want die was sneller, en wat schetst mijn verbazing, ook binnen een week een exploit te pakken. Dus tja, het gevoel is dus gewoon, stick with IE.
Tja, een heel artikel zonder enige informatie waar je iets mee kan. Er staat vanalles in, maar het zegt allemaal niks want de context ontbreekt. Als Chrome al z'n lekken dicht binnen een dag is het een opsteker voor Chrome, of is Chrome juist slecht geschreven vanwege die hoeveelheid lekken. Of zoekt bijna iedereen alleen in Chrome naar lekken? Is Safari beter geworden of belonen ze minder de laatste jaren? Het blijft gissen, meer iets voor nu.nl zo'n artikel.
Daarnaast worden overheden en bedrijven aangevallen door andere overheden, bijvoorbeeld China, Rusland, Iran en SyriŰ.

dit zijn de slachtoffers veronderstel ik? }>

Met stereotypen aan komen draven terwijl de dreiging duidelijk van ALLE kanten komt..

ter herinnering, nu actueel:

http://www.express.be/bus...ropese-leiders/192510.htm

http://rt.com/news/france-us-delay-trade-603/

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True