Programmen med flest säkerhetsproblem i 2014 var inte de du tror

Secunia sårbarhet Review 2015 Secunia registreras 15,435 programvarusårbarheter i 3.870 ansökningar under 2014, i enlighet med sitt årliga sårbarhets Review 2015, släpps denna vecka.

Detta motsvarade en ökning med 18 procent i sårbarheter och en 22-procentig ökning i program jämfört med 2013. Men om du bad folk att namnge program med flest vulnerabilites, de förmodligen inte skulle få dem rätt … om de skulle läsa en tidigare Secunia rapport.

Google Chrome ledde listan med 504 sårbarheter, följt av Oracle Solaris (483), Gentoo Linux (350) och Microsofts Internet Explorer (289). Apples Mac OS X placerade 13 med 147 sårbarheter, med Microsofts Windows 8 i 20: e plats (105).

Endast två Microsoft-program gjorde Top 20 lista över kärn program, som dominerades av IBM, med åtta poster. Tivoli Endpoint Manager var Big Blue värsta artist, med 258 sårbarheter tjänar den 8: e plats. Den följdes av Tivoli Storage Productivity Center (231), IBM Websphere Application Server (210), IBM Domino (177), IBM Lotus Notes (174), IBM Tivoli Composite Application Manager för transaktioner (136), IBM Tivoli Application Dependency Discovery chef (136), IBM Tivoli Application Dependency Discovery chef (122), och IBM WebSphere Portal (107) – se tabell nedan.

Program från samma företag kan väl dela sårbarheter, så IBM: s prestanda är troligen inte så illa som det ser ut. Dessutom, inspelning ett stort antal sårbarheter betyder inte ett program är med nödvändighet osäker: att hitta och fastställande sårbarheter bidrar till att göra Chrome den säkraste webbläsaren. Men betyder det att du måste ta lapp på allvar.

Lyckligtvis är “dags att lappa” fortfarande minskar. Secunia rapporterar att av 15,435 sårbarheter, “en fullständig 83 procent hade en säkerhetskorrigering som finns på dagen sårbarhet avslöjades för allmänheten”.

Som vanligt, icke-Microsoft-program var ansvariga för de flesta sårbarheter på datorer, men Microsofts prestanda doppade. Enligt Secunia, Microsoft-program (inklusive Windows 7 operativsystem) stod för 69 procent av produkterna i de 50 program som oftast installeras på datorer, men var bara ansvarig för 23 procent av sårbarheter. Det kanske låter bra, men Microsoft hade drivit tal nedåt från 43 procent 2007 till bara 14 procent år 2012.

Windows 8 var uppenbarligen den version med de flesta sårbarheter, men föll antalet från 156 under 2013 till 105 2014. Windows 7 gjorde ännu bättre, med det antal som faller från 102 till 33. Windows XP gick från 99 år 2013 till 5 i 2014, främst på grund Microsoft slutade stödja den i april.

Som vanligt webbläsare hade flest sårbarheter i de 50 program. Googles Chrome kom topp med 504 inspelade sårbarheter, väl före IE (289) och Mozilla Firefox (171). Dessa följdes av Oracle Java JRE (119), Adobe Flash Player (99), Apple iTunes (84), Adobe Air (59), Adobe Reader (43), Microsoft Windows 7 (33), Apple QuickTime (14) och Microsoft ord (13). För att undvika missförstånd, Apples Safari hade 92 inspelade sårbarheter

Lyckligtvis är det möjligt att leva utan Adobe eller Apple-program på Windows-datorer utom förmodligen en Flash Player i webbläsaren. Många människor kan också leva utan Java JRE, men Secunia fann det på 79,1 procent av de tillfrågade datorer.

Men de största säkerhets katastrofer av året var i öppen källkod med heartbleed, SSL och Shellshock. Secunia konstaterar att dessa problem “uppmärksammade en tidigare försummat potentiella säkerhetsproblemet: användningen av öppen källkod och bibliotek i IT-miljöer.” Det tillägger: “. Det är därför viktigt att vara medveten om vilken öppen källkod bibliotek är i bruk i en miljö, och att ha en fast begränsning strategi på plats Eftersom program som använder dessa bibliotek inte alltid lappat – ofta är de inte även rapporterats sårbar.

Secunia får huvuddelen av sina data från sin fria Personal Software Inspector (PSI) program, som installeras på miljontals Windows-datorer (inklusive mig). PSI gör regelbundna kontroller för att se om en dator innehåller alla program som inte har haft de senaste uppdateringarna installerade, och gör det enkelt för användare att lappa dem. Detta är viktigt eftersom inte alla leverantörer ger schemalagda uppdateringar, och de kan inte meddela användare när lappade versioner släpps.

Säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera? nu att åtgärda kritiska säkerhetshål

Secunia erbjuder också en Corporate Software Inspector (CSI) och sårbarhetsvarningar tjänst för företagsanvändare.

Obs: presentationen av online-versionen av rapporten skiljer sig dramatiskt från det nedladdade PDF-version. Siffrorna är desamma men online grafiken är mycket mer slående.

Secunia bord av de 20 kärn program med flest sårbar ….; Image Fotograf: Secunia

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål