Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties

Dit jaar zijn er al vijftien zero day-kwetsbaarheden in de openbaarheid gekomen: beveiligingsproblemen in software die nog niet zijn gepatcht en dus extra gevaarlijk zijn. Dat meldt Secunia. In heel 2014 werden 25 zero day-kwetsbaarheden aan het licht gebracht.

Bijna alle vijftien zero days bevonden zich in software van Microsoft en Adobe, meldt beveiligingsbedrijf Secunia op de Black Hat-beveiligingsconferentie in Las Vegas; in één geval ging het om een lek in Java. Flash was verantwoordelijk voor zeven zero-days, Windows voor drie en Office voor twee. Een groot deel van de zero-days kwam aan het licht toen interne gegevens van spionagebedrijf Hacking Team door een aanvaller op internet werden gezet. Onder die interne data waren ook nog ongepatchte beveiligingsproblemen, die Hacking Team misbruikte om computers van slachtoffers te infecteren.

Volgens Secunia is het aantal ontdekte zero days geen reden tot zorg. Het zou volgens het bedrijf eerder zorgwekkend zijn als het aantal ontdekte zero days zou afnemen. Dat zou namelijk betekenen dat de zero days onder de radar zouden blijven en misbruikt zouden worden door bedrijven als Hacking Team, denkt Secunia. Vorig jaar werden 25 zero-days ontdekt; de vijf jaar daarvoor lag het aantal ontdekte zero-days in de vierhonderd populairste softwarepakketten elk jaar tussen de 15 en de 26.

Verder meldt Secunia dat er tot nu toe 9225 beveiligingsproblemen zijn gevonden in software, iets minder dan de 9560 die vorig jaar werden aangetroffen. Wel nam het aantal bugs die als 'extreem kritisch' worden bestempeld toe van 0,3 naar 0,5 procent. Ook het aantal 'zeer kritische' bugs nam toe, van 11,1 naar 12,7 procent. Het aantal bugs die worden bestempeld als 'gemiddeld' nam af van 28,2 naar 23,7 procent.

Tot nu toe zijn dit jaar tachtig beveiligingsproblemen in iOS gevonden, tegen tien in Android. Volgens Secunia betekent dat allerminst dat Android veiliger is dan iOS, omdat Google slechts beperkte controle heeft over de uitrol van security-updates. Apple kan beveiligingsupdates direct uitrollen naar gebruikers, maar bij Android zijn de fabrikanten van apparaten en telecomproviders daarvoor verantwoordelijk."Voor gebruikers kan het veel langer duren voordat ze gepatcht zijn dan op iOS", aldus Lindgaard tegenover Tweakers. Daarnaast kan het verschil worden verklaard doordat Apple ook sommige apps als Safari patcht via het besturingssyteem, terwijl dat op Android via de Play Store of een andere softwarewinkel verloopt.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (21)

Eigenlijk, als je er zo bij nadenkt, is dat best weinig. Het gaat hier om de 400 meest gebruikte software pakketten, en het aantal zero-day bugs schommelt altijd tussen de 14-26?
Dit gaat over zero-day kwetsbaarheden die ook naar buiten worden gebracht. Daarnaast zijn er ook nog kwetsbaarheden die door het bedrijf zelf worden ontdekt en vroegtijdig worden gefixed of zero-day kwetsbaarheden die niet worden bekend gemaakt.
Als een zero-day door de maker zelf wordt ontdekt is heet bij definitie geen zero-day.
Door de maker van de software ja, en niet dit beveiligingsbedrijf ;) Voor zo'n bedrijf die het zelf vindt, is het gewoon een 0-day. Overigens is de definitie vrij lastig, omdat het inhoud dat de bug/exploit nog niet bekend is bij iemand anders. Die zekerheid heb je nooit. Daarom maakt het uiteindelijk geen drol uit wie hem vindt, zodra de bug in live software zit is het per definitie een 0-day die geexploit kan worden. Vandaar ook "0 dag" omdat de maker "0 dagen" heeft om het te fixen.

Verder ben ik het er mee eens, dat het tamelijk weinig is, maar je hebt wel weer
9225 beveiligingsproblemen
Nu vraag ik mij dan meer af wat hun definitie van 0-day is aangezien je vast wel één van die 9225 problemen kan gebruiken om te exploiten.
In de aanleiding:

"In heel 2014 werden dertig zero day-kwetsbaarheden aan het licht gebracht."

Verder in het stuk:
"
Vorig jaar werden 25 zero-days ontdekt; de vijf jaar daarvoor lag het aantal ontdekte zero-days in de vierhonderd populairste softwarepakketten elk jaar tussen de 15 en de 26."

Uhh. Wat? Zijn het er nou 30 of 25?

Ik vind 15 dit jaar dan nog relatief weinig, als men uitgaat van 25 vorig jaar. Relatief gezien ligt dat in lijn met de vorige jaren.

[Reactie gewijzigd door draytek2950 op 8 augustus 2015 10:38]

We zijn nog maar halverwege 2015... Het moet tot December vrij rustig blijven om het binnen de norm te houden.
We zitten al in de 8ste maand van het jaar en ze hebben nog maar de helft van vorig jaar ontdekt, dus tot nu toe is het al minder als vorig jaar.
Was ook mijn eerste gedacht... 25 vs. 30. Heel leuk dat tweakers iemand op deze BHC heeft zitten, maar af en toe toch meer nakijken wat men schrijft zou leuk zijn :)
Dat zijn die die ontdekt zijn. Ik denk dat er zeker 10keer zoveel geweten zijn door overheden en bedrijven zoals Hacking Team voor software die je als gewone gebuiker sowieso hebt.
Als dat zo zou zijn zou je echter verwachten dat er dit jaar een stuk meer gevonden werden, gezien de hack van Hacking Team.
Het lijkt er dus niet op dat Hacking Team er zoveel meer zou ontdekt hebben dan deze onderzoekers er in een normaal jaar kunnen vinden.
Volgens mij mis je de strekking van die zin. Er wordt namelijk gezegd dat geen van beide per definitie veiliger is
In principe ben je dus wel veiliger op Android als je snel updates krijgt, zoals bij de Nexus serie.
Die uitspraak geldt natuurlijk voor stukje software of OS.. Als.... Net wie snel is
nee, want er wordt niet gezegd over de tijd die er over gaat tussen ontdekking en patch-deployment. Bovendien is de totale expertise van de mensen die achter exploits zoeken voor een bepaald platform onmeetbaar evenals de veiligheid van een bepaald OS en het totale misbruik van alle exploits samen onbekend, dus is het volgens mij ook compleet nutteloos om de ene of de andere als "veiliger" te bestempelen
In principe ben je dus wel veiliger op Android als je snel updates krijgt, zoals bij de Nexus serie.
ALS is het sleutelwoord. Je krijgt niet altijd snel updates. Buiten dat is Android>Nexus.
Daarom zeg ik, bij de Nexus serie.
Ook op de Nexus vind ik het zo snel niet gaan, stagefright van afgelopen week is daar een goed voorbeeld van.
ik denk dat je hem verkeerd leest. Hoewel er meer kwetsbaarheden in iOS gevonden zijn, zegt dit helaas niet meteen dat Android ook veiliger zou zijn;

"Volgens Secunia betekent dat allerminst dat Android veiliger is dan iOS, omdat Google slechts beperkte controle heeft over de uitrol van security-updates. Apple kan beveiligingsupdates direct uitrollen naar gebruikers, maar bij Android zijn de fabrikanten van apparaten en telecomproviders daarvoor verantwoordelijk."Voor gebruikers kan het veel langer duren voordat ze gepatcht zijn dan op iOS", aldus Lindgaard tegenover Tweakers."

Ik draai zelf Cyanogenmod (nightly van afgelopen nacht) en ben helemaal bij wat dat betreft. Wanneer ik mijn iPad Air 2 vergelijk met mijn Note4 (met CM12.1), betekent dat mijn Note 4 in theorie "veiliger" zou moeten zijn. Omdat alle fixes zo'n beetje iedere nacht worden gecompiled, i.t.t. iOS, waar nu al een poosje 8.4 op draait, zonder tussentijdse updates. Mijn situatie is echter zeker anders vergeleken met "de normale" gebruiker.
Het is zowiezow een vreemde zin, aangezien het probleem van carriers of telefoonbouwers om updates aan te bieden verder weinig met android als OS te maken heeft.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True