'Apple patcht gemiddeld na 91 dagen, MS na 134 dagen'

Op de blogsite van de Washington Post is een artikel verschenen waarin de patchtijden van Apple onder de loep genomen worden en vergeleken worden met de tijd die Microsoft en de Mozilla Foundation nodig hebben om hun producten te verbeteren wanneer er een fout ontdekt wordt. Tijdens de afgelopen twee jaar duurde het bij Apple gemiddeld 91 dagen om een patch te produceren en te verspreiden nadat een lek ontdekt werd. Bijna zonder uitzondering zijn verschillende Linux-distro's meerdere maanden sneller met het patchen van fouten die zowel in dit open-sourcebesturingssysteem als in Mac OS X aanwezig waren. De analyse van de verschillende lekken en hun patchtijden verliep volgens de journalist overigens niet van een leien dakje, omdat Apple geen gradatie van ernst toekent aan een fout. Security Advisories bevatten over het algemeen niet meer dan een korte paragraaf die het probleem omschrijft. In het onderzoek wordt dan ook enkel uitgegaan van lekken die het uitvoeren van kwaadaardige code, eventueel van afstand, mogelijk maken.

Lek Ongeveer een vierde van deze bugs werd door Apple zelf ontdekt, maar Apple weigerde mee te delen hoeveel tijd er telkens verstreek tussen het ontdekken van het lek en het bekendmaken ervan. Wel kende het bedrijf op vraag van de onderzoeker cijfers toe aan de verschillende lekken, gaande van een 1 voor zeer ernstig tot 4 voor weinig ophefmakend.

Dezelfde berekening die gehanteerd werd om tot de patchtijd van 91 dagen te komen, werd ook losgelaten op Microsoft en Mozilla. Daaruit kwam de conclusie dat Microsoft gemiddeld 134 dagen aan een patch werkt, terwijl Mozilla de klus in 37 dagen klaart. Omdat deze organisaties wel bekendmaken hoe ernstig een lek is, werd voor dit onderzoek genoegen genomen met de fouten die het stempel 'critical' meekregen. Daarbij merkt de onderzoeker overigens op dat dit gemiddelde van 37 dagen sterk beïnvloed wordt door een specifieke fout waarvoor Mozilla maar liefst 674 dagen nodig had om volledig van het probleem af te komen. Wanneer dit specifieke geval buiten beschouwing gelaten wordt, daalt de gemiddelde patchtijd naar 23 dagen, waarbij een derde van de herstellingen binnen de tien dagen gebeurde.

Reacties (55)

Auteur

Yoeri 3 mei 2006 10:09

C|Net publiceerde overigens een artikel over Apple-veiligheid geschreven door Bob Johnson, CEO van veiligheidssoftwaremaker SecureWave. Daarin stelt hij dat Apple in de toekomst wel eens het doelwit van virusschrijvers en hackers zou kunnen worden door Windows naar zijn computers te brengen.

Met Boot Camp is het namelijk mogeljk Windows naast Mac OS X te draaien. Omdat Apple-gebruikers niet gewoon zijn extra veiligheidsmaatregelen te nemen en programma's als virusscanners te draaien, zouden zij een groot risico lopen. De maker van veiligheidssoftware schetst bijvoorbeeld een situatie waarbij een virus binnendringt via Windows en vervolgens en doorgang vindt om het Mac OS X-besturingssysteem te infecteren, waarna het onmogelijk wordt om te rebooten. Ook iPods zijn volgens de SecureWave-CEO vatbaar voor virussen. 'As the Apple ecosystem of solutions continues to grow rapidly, so does the risk of malicious activity'.

Een oplossing voor dit doemscenario heeft de CEO niet meteen beschikbaar, maar het installeren van de beveiligingssoftware van zijn eigen bedrijf, zal hij vast wel een goed idee vinden.

Verwijderd @Yoeri • 3 mei 2006 11:19

Dit soort berichten volg ik nu al een jaar of 5. Telkens komt er maar geen virus, worm of ander onheil over OS X neer gedaald. Symantec zwaait om de zoveel maand kwistig met waarschuwingen, toch zien we het aantaal virussen of symantec gebruikers op Mac niet toenemen.

Een virus maakt weinig of geen kans op een mac. Een Mac moet al meer dan 50% marktaandeel hebben voor zo'n virus maar al een beetje overlevingskans wil hebben in deze windowswereld. Door het hoge marktaandeel van windows is windows een firewall geworden voor het Mac platform.

Verwijderd @Verwijderd • 3 mei 2006 12:28

om eerlijk te zijn vind ik persoonlijk eeen virusscanner op windowsXP zelfs overdreven

ik draai hier al 3 jaar winxp en heb nog nooit een virus gehad/gezien
misschien omdat ik logisch nadenk vooraleer ik een bestand zie op kazaa genaamd "half-life 2 Keygen.exe"

3 dingen heb je nodig:
*goeie pop-up-blocker en/of firewall
*ms antispyware/windows defender die draait op achtergrond
*gezond verstand en legaal surfgedrag

verder wil ik dit ook nog kwijt... imo vertonen meeste anti-virusprogs meer virusgedrag dan het gemiddelde virus
*vertraging computer
*zeer moeilijk weg te krijgen
*constante irritatie door nutteloze boodschappen

Verwijderd @Verwijderd • 3 mei 2006 12:41

3 dingen heb je nodig:
*goeie pop-up-blocker en/of firewall
*ms antispyware/windows defender die draait op achtergrond
*gezond verstand en legaal surfgedrag

Ik dacht dat je enkel een internetverbinding nodig had

Floor @Verwijderd • 3 mei 2006 12:57

Nou dan kan ik je NOD32 aanbevelen. Daar merk je helemaal niks van. De argumenten die jij beschrihft duiken iedere keer weer op zodra een bericht over virussen gaat.
En meniging deelt jouw mening niet!

Parasietje @Verwijderd • 3 mei 2006 11:23

Sterke opmerking! Er hebben al veel analisten de computerwereld vergeleken met de landbouw, waarin het telen van één gewas VRAGEN om virussen is.
Iedereen moet zoveel mogelijk verschillende besturingssystemen draaien. Dan moet er een veilige cross-platform oplossing komen, en dan zijn we van al onze problemen verlost.
Keep on dreaming?

Verwijderd @Parasietje • 3 mei 2006 12:03

Dat is ook wat ik zie gebeuren in de toekomst. 1 of 2 linuxen gaan aardig wat marktaandeel van Windows afsnoepen de komende jaren en dan is het hek van de dam en zullen veel computers net als de Mac met een eigen besturingssysteem worden geleverd.

benoni @Parasietje • 3 mei 2006 18:23

Interessante analogie, je kunt de aspecten bijna als een blauwdruk over elkaar leggen. In de landbouw speelt ook een brede discussie over patentwetgeving en politieke invloed van internationals, omdat bedrijven als Monsanto monopolie proberen af te dwingen voor hun genetisch 'verbeterde' monocultuur. Microsoft houdt het daarmee vergeleken nog best netjes :x

alt-92 @Verwijderd • 3 mei 2006 13:50

Dat is ook wat ik zie gebeuren in de toekomst.1 of 2 linuxen gaan aardig wat marktaandeel van Windows afsnoepen de komende jaren en dan is het hek van de dam en zullen veel computers net als de Mac met een eigen besturingssysteem worden geleverd.

Dit roepen jullie nu al een jaar of 4, maar veel schot zit er niet in.

The - DDD @Yoeri • 3 mei 2006 10:25

Op zich een heel legitiem punt.

Immers wanneer je niet in OSX zit maar in Windows XP kan een windows virus de OSX partitie mounten en benaderen zonder rekening te houden met de toegangsinstellingen. Als je eenmaal zover bent, dan heb je de vrije hand om te doen wat je wilt.

Bijkomend voordeel van bootcamp voor virus schrijvers is dat je naar ik aanneem redelijk makkelijk de partitie kan achterhalen welke partitie de OSX partitie is.

De vraag is alleen in hoeverre een dergelijke constructie echt interresant is. De gebruiker moet een Apple systeem hebben, dan ook nog is toevallig bootcamp gebruiken en dan ook nog is een virus oplopen. Ik neem aan dat je als Apple gebruiker zo min mogelijk Windows zult gebruiken, enkel voor die paar applicaties of een paar leuke spelletjes. Als je verder niet al teveel obscure sites opent, dan zal je risico wel mee moeten vallan, denk ik.

Verwijderd @The - DDD • 3 mei 2006 10:35

Dat wordt nog een populair virus als ie gratis en voor niks OS X partities mount. Valt meer aan te verdienen door de daarvoor benodigde drivers te verkopen.

kozue @Verwijderd • 3 mei 2006 13:58

Die posts hierboven zijn helemaal niet 'inzichtvol' en 'informatief'. Zo moeilijk is het niet om een disk te mounten.
Linux heeft geen problemen om HFS+ partities te mounten. Ik weet niet hoe goed die driver is, heb hem maar 1 keer gebruikt (om een dmg image te mounten geloof ik), maar aangezien het open source is, is het geen probleem om die code in je virus te verwerken

Dat sommige mensen nou zo stom zijn om een 'heel pakket' te gaan kopen kan zo'n virus schrijver nix aan doen natuurlijk

johnbetonschaar @The - DDD • 3 mei 2006 10:29

Immers wanneer je niet in OSX zit kan een windows virus de OSX partitie mounten en benaderen zonder rekening te houden met de toegangsinstellingen.

Dat wordt een flink virus dan, dat MacOS partities kan mounten, benaderen en beschrijven.... Heb ik normaal een heel pakket (MacDrive) voor nodig...

Evinyatar @The - DDD • 3 mei 2006 10:30

Dan moet dat virus wel zelf om kunnen gaan met HFS+, want standaard kan Windows dat niet mounten.

Parasietje @Yoeri • 3 mei 2006 11:21

Dat doet me denken aan die keer dat ik wat software downloadde van op een LAN-party. Ik draaide het met aangepaste linux-binary, en ik had er geen problemen mee.
2 jaar later wil iemand dat van mijn computer afhalen, en zijn virusscanner protesteert.

Het is inderdaad gevaarlijk om linux of MacOSX-gebruikers op een windows-pc los te laten. Ze verwachten stabiliteit en veiligheid. Als de computer plots opstart met een ander bureaublad, dan worden die gebruikers kwaad. Net zoals onder linux, is MacOSX gericht op: "When it works, it keeps working." Dat heb ik onder windows nog weinig gemerkt...

Daimanta @Parasietje • 3 mei 2006 13:21

Windows is best stabiel hoor(tenzij je er na 3.11 vanaf bent gestapt)

guitarzphreak @Yoeri • 3 mei 2006 13:52

floor, ik weet niet hoor, maar als ik nod 32 afsluit zie ik toch zeker consequent minder processor gebruik, en dat het geen meldingwen geeft...dan vraag je je ook af wat ie dan doet met dingen

Verwijderd @Yoeri • 3 mei 2006 15:12

Tja, en met de volgende versie van OSX zullen windows executables door de hypervisor op XP draaien.. tis maar de vraag wat voor lekken dat met zich mee brengt.

Oizoken 3 mei 2006 10:22

de excel bestanden zijn blijkbaar niet goed doorgekomen?

ik krijg een lege voor mozilla en een php error in de patchlist

GoBieN-Be @Oizoken • 3 mei 2006 10:28

Je bent niet alleen, ook lege excel hier.

Toch wel netjes overigens dat Mozilla 1 op 3 kritieke lekken binnen de 10 dagen patched

edit: typo, en waar zeg ik dat mozilla een OS is ?

aval0ne @GoBieN-Be • 3 mei 2006 10:56

excell is iets anders dan excel
En mozilla is geen OS, dus slechte vergelijking.

Parasietje @GoBieN-Be • 3 mei 2006 11:25

Je kan het ook omdraaien. Toch wel sterk dat Microsoft ZO enorm veel moeite steekt in QA van hun patches, en er TOCH nog programma's zijn die stoppen met werken na installatie van de patch.
Windows is inherent moeilijk te patchen, door zijn lange upgrade-cyclus. Er is nooit een complete rewrite geweest, wat maakt dat hun ontwerp nu waarschijnlijk ERG moeiljk aan te passen is. Dat voordeel heeft MacOSX op windows: aanpasbaarheid. Wacht tot binnen 10 jaar... Zonder een complete rewrite is MacOSX even moeilijk te patchen als Windows nu.

merethan @Parasietje • 3 mei 2006 15:32

Het laadste wat je moet doen is vanaf de grond beginnen.

Things you should never do

Mozilla is dan wel geen OS, het is wel een bekend en steeds meer gebruikt Open Source software product.

Verwijderd 3 mei 2006 10:15

@Yoeri: je denk idd toch niet dat ik op mijn MBP een viruskiller en meer van die onzin zet? Ik denk overigens dat alleen profi gebruikers bootcamp hebben. Ik zie behalve in mijn geval voor Delphi namelijk niet in waarom ik Windows zou willen draaien, alles draait beter in Mac OS. Het wachten is op een stabiele versie van Lazarus (open source delphi) voor mac os en dan gooi ik Windows/Boot camp er ook weer af, tenzij ik een spelletje wil spelen wat niet op Mac OS draait.

Easy Rider @Verwijderd • 3 mei 2006 10:27

Aangezien ik geen online spelletjes speel hoef ik windows helemaal geen internet toegang te geven al die windows updates zullen me een worst zijn, en eventuele updates van m'n spellen kan ik wel gewoon via Mac OS X downloaden.
Volgens mij loop ik dan weinig risico.

edit spellings fout

Plymp @Verwijderd • 3 mei 2006 10:21

tenzij ik een spelletje wil spelen wat niet op Mac OS draait.

Dit is voor veel mensen (ook niet profi gebruikers) denk ik toch zeker een reden om Boot Camp wel te blijven gebruiken en blijven ze dus at risk. Boot Camp zal er ook zeker voor zorgen dat meer niet profi gebruikers een apple kopen (omdat een apple zo geil is, maar nu toch Windows kan draaien), dus lijkt me wel degelijk een probleem.

Verwijderd 3 mei 2006 10:29

Je kunt de situaties totaal niet vergelijken. Microsoft moet voor meerdere versies van Windows, en voor meerdere configuraties patches ontwikkelen cq testen. Apple heeft het voordeel vast te zitten aan een vast assortiment aan hardware met een vaste configuratie.

ultimasnake @Verwijderd • 3 mei 2006 10:48

Dat niet alleen, maar mozilla ontwikkeld geen OS, en toch lijkt een OS mij lastiger te fixen dan een Programma.

Aangezien een verandering in het OS ook programmas kan beinvloeden, en zoals je al zegt.. windows == iedere mogelijke machine. OSX = apple specifieke modelen dus er zijn veel minder verschillende testcases uit te voeren voor een bug als Fixed beschouwd kan worden

psyBSD @ultimasnake • 3 mei 2006 11:02

ja... alsof microsoft een license heeft op alle software die draait op windows... gewoon om te testen of het nog werkt als ze wat veranderen.

Ze fixen een bug, en als jouw app dan crashed. dan moet jij dat fixen. Als jouw redenering klopt hadden we nooit een SP2 voor windows XP gehad.

Die test-case scenario's zijn echt niet complexer bij ms. (dat zouden ze niet horen te zijn iig, wanneer user-space is gescheiden van kernel-space)

Als een bug in IE, Office, of Explorer wordt gefixed mag dat geen effect hebben op de hardware layer (of ik een P4 of een Opteron heb). Als dit wel het geval is dan hebben we met zijn allen een groot probleem.

SirBlade @psyBSD • 3 mei 2006 11:13

Maarf bug-fix in IE of Office kan grote gevolgen hebben voor applicaties die daarvan gebruik maken, en dat zijn er nogal wat. Het lijkt mij heel erg logisch dat MS van grote, vaak gebruikte pakketen een test-licentie heeft. Een windowsupdate die er opeens voor zorgt dat bv SAP, Autocad, Photoshop of Oracle opeens niet meer werkt zal niet echt gewaardeerd worden. MS zal waarschijnlijk een patch ontwikkelen en testen, daarna z'n partners inlichten zodat die maatregelen kunnen nemen en pas een tijd later de patch beschikbaar stellen voor de rest van de wereld.

catfish @psyBSD • 3 mei 2006 12:21

sommige calls kan je in windows doen op meer dan 4 verschillende manieren... allemaal overblijfselen van vorige versies, da's dus leuk voor de compatibiliteit, maar als je er voor wil zorgen dat die oude porgramma's blijven werken, moet je ook alle oudere codepaths gaan controleren, vandaar ook dat er zeer veel oude dll's in windows zitten

je zou ook schoon schip kunnen houden, maar ik vraag mij dan sterk af hoe de markt zou reageren, er worden ongeloofelijk veel slechte programma's geschreven die aan elkaar hangen van de hacks
zo simpel is het echt wel niet

psyBSD @Verwijderd • 3 mei 2006 10:41

Dan kun je natuurlijk ook vragen stellen bij de kwaliteit van de software... het is onzin dat je je hardware-layer moet testen wanneer je een bug in IE fixed.

Of het design is flawed natuurlijk, dan is alles mogelijk.

Horla @psyBSD • 3 mei 2006 10:48

Of de third party software trekt op niet veel, zie: nieuws: Microsoft adviseert registerfix tegen patchproblemen

geez 3 mei 2006 10:15

Ik ben vast niet de enige die het allebei belachelijk lang vind..

Verwijderd @geez • 3 mei 2006 10:43

Dat komt omdat je geen ervaring hebt met software ontwikkeling, en niet bekend bent met wat er komt kijken bij het ontwikkelen van een patch. Waar bazeer jij je mening op?

Terracotta @Verwijderd • 3 mei 2006 11:45

Op het feit dat de open-source gemeenschap het duidelijk wel kan.

Verwijderd @Terracotta • 3 mei 2006 22:20

Ik vermoed dat de Open Source ontwikkelaars hun patch iets minder grondig uittesten...

geez @Verwijderd • 3 mei 2006 12:43

Aangezien Terracotta weggemod is, zal ik het nog eens posten.

Op het feit dat de open-source gemeenschap het duidelijk wel kan.
Daarnaast hebben MS en Apple bakken geld te besteden, itt tot de open-source community.

grobbel 3 mei 2006 11:37

Nu nog een onderzoek naar hoe lang het duurt voordat de patch bij 'iedereen' (zeg 90% van de gebruikers) geïnstalleerd is.

psyBSD @grobbel • 3 mei 2006 11:48

Dat is dan een gebruikers-test, geen OS test.

De gebruiker is verantwoordelijk voor de up-to-date heid van de software die hij draait. Niet de software-maker.

Mars Warrior @grobbel • 3 mei 2006 12:38

Daar sla je toch wel de spijker op zijn kop. Wat ik inderdaad mis is het daadwerkelijke operationeel zijn van de patch:
- Bij MS betekent gepatched ook (als windows update draait) DIRECT operationeel
- Bij Linux bijv. weet ik dat niet: patchen kan snel zijn, maar is die patch dan ook meteen beschikbaar voor de "normale" mensen en zit die patch dan ook meteen in een distro???

Verwijderd @Mars Warrior • 3 mei 2006 13:33

alle Linux distributies hebben ook een mooie update-procedure die je net zo automatisch kan maken als die van windows

Zaffo @Verwijderd • 3 mei 2006 13:55

Ik vind eerlijk gezegt de update functie in de distro's die ik gebruik (SUSE en Ubuntu) makkelijker en veel sneller dan de Windoos update.

psyBSD @Mars Warrior • 3 mei 2006 13:59

Over het algemeen zitten die patches binnen een week in je distro. (Er zijn natuurlijk uitzonderingen, maar ik heb het hier over Ubuntu en gentoo)

gabiballetje 3 mei 2006 10:58

Ze zijn te traag, aan de andere kant is de software zo ingewikkeld geworden, je kan iets niet zomaar veranderen omdat het elders weer fout kan gaan.

Zaffo 3 mei 2006 11:20

Bijna zonder uitzondering zijn verschillende Linux-distro's meerdere maanden sneller met het patchen van fouten die zowel in dit open-sourcebesturingssysteem als in Mac OS X aanwezig waren.

Linux is wel een OS, en het werkt op veel meer hardware dan Windoos. Toch zijn ze sneller.

mieJas @Zaffo • 3 mei 2006 18:05

En mag je dan een X1600Pro hebben: X Server Error!
Of een BroadCom draadloos kaartje.. wireless netwerk? niets van!

ProfPi 3 mei 2006 11:28

Daarbij merkt de onderzoeker overigens op dat dit gemiddelde van 37 dagen sterk beïnvloed wordt door een specifieke fout waarvoor Mozilla maar liefst 674 dagen nodig had om volledig van het probleem af te komen. Wanneer dit specifieke geval buiten beschouwing gelaten wordt, daalt de gemiddelde patchtijd naar 23 dagen, waarbij een derde van de herstellingen binnen de tien dagen gebeurde.

Dit geeft aan hoe sterk deze analyse afhankelijk is van uitbijters. Het is daarom wellicht beter om in plaats van gemiddelde patchtijden de mediaan patchtijden met elkaar te vergelijken.

KroeT @ProfPi • 3 mei 2006 14:47

Catrien Bijleveld?

Verwijderd 3 mei 2006 10:12

Debian doet het iedere dag

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (55)

Sorteer op:

Weergave: