Secunia: dit jaar al 15 zero day-kwetsbaarheden ontdekt

Dit jaar zijn er al vijftien zero day-kwetsbaarheden in de openbaarheid gekomen: beveiligingsproblemen in software die nog niet zijn gepatcht en dus extra gevaarlijk zijn. Dat meldt Secunia. In heel 2014 werden 25 zero day-kwetsbaarheden aan het licht gebracht.

Bijna alle vijftien zero days bevonden zich in software van Microsoft en Adobe, meldt beveiligingsbedrijf Secunia op de Black Hat-beveiligingsconferentie in Las Vegas; in één geval ging het om een lek in Java. Flash was verantwoordelijk voor zeven zero-days, Windows voor drie en Office voor twee. Een groot deel van de zero-days kwam aan het licht toen interne gegevens van spionagebedrijf Hacking Team door een aanvaller op internet werden gezet. Onder die interne data waren ook nog ongepatchte beveiligingsproblemen, die Hacking Team misbruikte om computers van slachtoffers te infecteren.

Volgens Secunia is het aantal ontdekte zero days geen reden tot zorg. Het zou volgens het bedrijf eerder zorgwekkend zijn als het aantal ontdekte zero days zou afnemen. Dat zou namelijk betekenen dat de zero days onder de radar zouden blijven en misbruikt zouden worden door bedrijven als Hacking Team, denkt Secunia. Vorig jaar werden 25 zero-days ontdekt; de vijf jaar daarvoor lag het aantal ontdekte zero-days in de vierhonderd populairste softwarepakketten elk jaar tussen de 15 en de 26.

Verder meldt Secunia dat er tot nu toe 9225 beveiligingsproblemen zijn gevonden in software, iets minder dan de 9560 die vorig jaar werden aangetroffen. Wel nam het aantal bugs die als 'extreem kritisch' worden bestempeld toe van 0,3 naar 0,5 procent. Ook het aantal 'zeer kritische' bugs nam toe, van 11,1 naar 12,7 procent. Het aantal bugs die worden bestempeld als 'gemiddeld' nam af van 28,2 naar 23,7 procent.

Tot nu toe zijn dit jaar tachtig beveiligingsproblemen in iOS gevonden, tegen tien in Android. Volgens Secunia betekent dat allerminst dat Android veiliger is dan iOS, omdat Google slechts beperkte controle heeft over de uitrol van security-updates. Apple kan beveiligingsupdates direct uitrollen naar gebruikers, maar bij Android zijn de fabrikanten van apparaten en telecomproviders daarvoor verantwoordelijk."Voor gebruikers kan het veel langer duren voordat ze gepatcht zijn dan op iOS", aldus Lindgaard tegenover Tweakers. Daarnaast kan het verschil worden verklaard doordat Apple ook sommige apps als Safari patcht via het besturingssyteem, terwijl dat op Android via de Play Store of een andere softwarewinkel verloopt.

Door Joost Schellevis

Redacteur

Feedback • 08-08-2015 10:0821

08-08-2015 • 10:08

21 Linkedin

Lees meer

Minister VWS: afweging veiligheid en functionaliteit ligt bij zorgverleners zelf Nieuws van 27 oktober 2016
Ministerie VWS raadt zorgverleners aan om browsers niet te updaten Nieuws van 22 september 2016
Google neemt vanaf 30 juni geen Flash-advertenties meer aan Nieuws van 10 februari 2016
Adobe ziet html5 als de toekomst en lijkt Flash de rug toe te keren Nieuws van 1 december 2015
Universiteit van Texas ontdekt kwetsbaarheid in lockscreen Android Lollipop Nieuws van 15 september 2015
Hacking Team had backdoor-app in Play Store - update Nieuws van 17 juli 2015
Microsoft en Adobe patchen bugs uit Hacking Team-data Nieuws van 15 juli 2015
Firefox blokkeert nieuwste Flash-versie op Windows en Linux Nieuws van 14 juli 2015
Opnieuw publiceren hackers kwetsbaarheid in Flash Nieuws van 11 juli 2015
Aanvallers misbruiken ongepatcht Flash-lek van Hacking Team - update Nieuws van 8 juli 2015
'Britse geheime dienst paste reverse engineering toe op Kaspersky-antivirus' Nieuws van 22 juni 2015
Beveiligingsbedrijf Kaspersky geïnfiltreerd met overheidsvirus - update Nieuws van 10 juni 2015
'Russen breken weer in bij Amerikaanse overheid' Nieuws van 24 april 2015
Google openbaart mogelijk ongepatchte beveiligingsproblemen OS X Nieuws van 23 januari 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (21)

-Moderatie-faq
21
19
10
0
0
0
Wijzig sortering
Loller1
8 augustus 2015 10:17
Eigenlijk, als je er zo bij nadenkt, is dat best weinig. Het gaat hier om de 400 meest gebruikte software pakketten, en het aantal zero-day bugs schommelt altijd tussen de 14-26?
cornedor
@Loller18 augustus 2015 13:22
Dit gaat over zero-day kwetsbaarheden die ook naar buiten worden gebracht. Daarnaast zijn er ook nog kwetsbaarheden die door het bedrijf zelf worden ontdekt en vroegtijdig worden gefixed of zero-day kwetsbaarheden die niet worden bekend gemaakt.
Loller1
@cornedor8 augustus 2015 14:12
Als een zero-day door de maker zelf wordt ontdekt is heet bij definitie geen zero-day.
Douweegbertje
@Loller19 augustus 2015 01:59
Door de maker van de software ja, en niet dit beveiligingsbedrijf ;) Voor zo'n bedrijf die het zelf vindt, is het gewoon een 0-day. Overigens is de definitie vrij lastig, omdat het inhoud dat de bug/exploit nog niet bekend is bij iemand anders. Die zekerheid heb je nooit. Daarom maakt het uiteindelijk geen drol uit wie hem vindt, zodra de bug in live software zit is het per definitie een 0-day die geexploit kan worden. Vandaar ook "0 dag" omdat de maker "0 dagen" heeft om het te fixen.

Verder ben ik het er mee eens, dat het tamelijk weinig is, maar je hebt wel weer
9225 beveiligingsproblemen
Nu vraag ik mij dan meer af wat hun definitie van 0-day is aangezien je vast wel één van die 9225 problemen kan gebruiken om te exploiten.
draytek2950
8 augustus 2015 10:38
In de aanleiding:

"In heel 2014 werden dertig zero day-kwetsbaarheden aan het licht gebracht."

Verder in het stuk:
"
Vorig jaar werden 25 zero-days ontdekt; de vijf jaar daarvoor lag het aantal ontdekte zero-days in de vierhonderd populairste softwarepakketten elk jaar tussen de 15 en de 26."

Uhh. Wat? Zijn het er nou 30 of 25?

Ik vind 15 dit jaar dan nog relatief weinig, als men uitgaat van 25 vorig jaar. Relatief gezien ligt dat in lijn met de vorige jaren.

[Reactie gewijzigd door draytek2950 op 8 augustus 2015 10:38]

sHELL
@draytek29508 augustus 2015 10:46
We zijn nog maar halverwege 2015... Het moet tot December vrij rustig blijven om het binnen de norm te houden.
BringIHell
@sHELL8 augustus 2015 11:44
We zitten al in de 8ste maand van het jaar en ze hebben nog maar de helft van vorig jaar ontdekt, dus tot nu toe is het al minder als vorig jaar.
moozzuzz
@draytek29508 augustus 2015 19:48
Was ook mijn eerste gedacht... 25 vs. 30. Heel leuk dat tweakers iemand op deze BHC heeft zitten, maar af en toe toch meer nakijken wat men schrijft zou leuk zijn :)
dielc
8 augustus 2015 11:37
Dat zijn die die ontdekt zijn. Ik denk dat er zeker 10keer zoveel geweten zijn door overheden en bedrijven zoals Hacking Team voor software die je als gewone gebuiker sowieso hebt.
Adion
@dielc8 augustus 2015 15:57
Als dat zo zou zijn zou je echter verwachten dat er dit jaar een stuk meer gevonden werden, gezien de hack van Hacking Team.
Het lijkt er dus niet op dat Hacking Team er zoveel meer zou ontdekt hebben dan deze onderzoekers er in een normaal jaar kunnen vinden.
tritimee
@Anoniem: 5824878 augustus 2015 10:25
Volgens mij mis je de strekking van die zin. Er wordt namelijk gezegd dat geen van beide per definitie veiliger is
calvinturbo
@tritimee8 augustus 2015 11:38
In principe ben je dus wel veiliger op Android als je snel updates krijgt, zoals bij de Nexus serie.
BAMMER
@calvinturbo8 augustus 2015 12:04
Die uitspraak geldt natuurlijk voor stukje software of OS.. Als.... Net wie snel is
dasiro
@calvinturbo8 augustus 2015 12:09
nee, want er wordt niet gezegd over de tijd die er over gaat tussen ontdekking en patch-deployment. Bovendien is de totale expertise van de mensen die achter exploits zoeken voor een bepaald platform onmeetbaar evenals de veiligheid van een bepaald OS en het totale misbruik van alle exploits samen onbekend, dus is het volgens mij ook compleet nutteloos om de ene of de andere als "veiliger" te bestempelen
Anoniem: 463321
@calvinturbo8 augustus 2015 12:30
In principe ben je dus wel veiliger op Android als je snel updates krijgt, zoals bij de Nexus serie.
ALS is het sleutelwoord. Je krijgt niet altijd snel updates. Buiten dat is Android>Nexus.
calvinturbo
@Anoniem: 4633218 augustus 2015 12:44
Daarom zeg ik, bij de Nexus serie.
Kura
@calvinturbo10 augustus 2015 18:18
Ook op de Nexus vind ik het zo snel niet gaan, stagefright van afgelopen week is daar een goed voorbeeld van.
Anoniem: 300525
@Anoniem: 5824878 augustus 2015 10:27
ik denk dat je hem verkeerd leest. Hoewel er meer kwetsbaarheden in iOS gevonden zijn, zegt dit helaas niet meteen dat Android ook veiliger zou zijn;

"Volgens Secunia betekent dat allerminst dat Android veiliger is dan iOS, omdat Google slechts beperkte controle heeft over de uitrol van security-updates. Apple kan beveiligingsupdates direct uitrollen naar gebruikers, maar bij Android zijn de fabrikanten van apparaten en telecomproviders daarvoor verantwoordelijk."Voor gebruikers kan het veel langer duren voordat ze gepatcht zijn dan op iOS", aldus Lindgaard tegenover Tweakers."

Ik draai zelf Cyanogenmod (nightly van afgelopen nacht) en ben helemaal bij wat dat betreft. Wanneer ik mijn iPad Air 2 vergelijk met mijn Note4 (met CM12.1), betekent dat mijn Note 4 in theorie "veiliger" zou moeten zijn. Omdat alle fixes zo'n beetje iedere nacht worden gecompiled, i.t.t. iOS, waar nu al een poosje 8.4 op draait, zonder tussentijdse updates. Mijn situatie is echter zeker anders vergeleken met "de normale" gebruiker.
blouweKip
@Anoniem: 3005258 augustus 2015 16:01
Het is zowiezow een vreemde zin, aangezien het probleem van carriers of telefoonbouwers om updates aan te bieden verder weinig met android als OS te maken heeft.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee