Det danske IT-sikkerhetsselskapet Secunia har kommet med en rapport om mengden av sårbarheter som ble funnet i programvare i 2012. Ifølge rapporten var utviklingen i fjor både positiv og negativ. Rapporten tar riktignok kun for seg sårbarheter i det Secunia mener er de 50 mest populære programvareproduktene. Men tilsynelatende er det kun programvare som er tilgjengelig for Windows, som er med i listen.
En viktig trend som har foregått i flere år, og 2012 var intet unntak, er det oppdages stadig flere sårbarheter i tredjeparts programvare, mens sårbarheter i programvare fra Microsoft utgjør en stadig mindre andel av totalen.
I 2007 fantes 43 prosent av alle sårbarheter blant de 50 mest populære programvareproduktene, i produkter fra Microsoft. I 2011 var andelen redusert til 22 prosent, mens den falt ytterligere – til 14 prosent – i fjor. Av de 50 produktene, var det bare 18 som ble rammet av sårbarheter i fjor. Til gjengjeld hadde disse til sammen 1137 stykker. Dette er 98 prosent flere enn i 2007, men ti prosent færre enn i 2011.
De tre applikasjonene med flest sårbarheter var Google Chrome, Mozilla Firefox og Apple iTunes. I disse tre produktene ble det til samme oppdaget 791 sårbarheter, nesten 70 prosent av alle sårbarhetene til de 50 topproduktene og 8 prosent av alle sårbarhetene Secunia totalt registrerte i fjor.
Til sammenligning registrerte Secunia «bare» 66 sårbarheter i Oracle Java og 67 i Adobe Flash Player.
Forteller ikke så mye
Men antallet sårbarheter som oppdages i produkter forteller veldig lite om hvilken risiko det utgjør å bruke de samme produktene. Det finnes sårbarheter i all programvare, og det er ikke negativt at disse blir oppdaget og fjernet raskt og på kontrollert vis av leverandøren. 80 prosent av sårbarhetene i de 50 produktene ble fjernet med sikkerhetsoppdateringer den samme dagen de ble offentliggjort. Så lenge programvarebrukerne sørger for å installere oppdateringene så raskt som mulig, utgjør disse sårbarhetene ingen risiko.
Problemet er sårbarhetene som offentliggjøres før en sikkerhetsfiks foreligger. De tre produktene som topper listen over flest sårbarheter, har i liten grad vært rammet av slike nulldagssårbarheter, noe som ifølge Secunia tyder på økt samarbeid og koordinering mellom de som oppdager sårbarhetene og disse programvareleverandørene.
En annen faktor som har betydning når sårbarheter oppdages, offentliggjøre og utnyttes, er hvor raskt en sikkerhetsfiks foreligger. Mens noen greier å utgi sikkerhetsfikser bare timer etter at en sårbarhet blir offentlig kjent, bruker andre mange dager eller uker, til tross for at sårbarhetene er under aktive angrep.
Antallet sårbarheter som allerede var under angrep da sårbarheten ble offentlig kjent, var i fjor ikke høyere enn 8 for de 50 mest populære produktene og 11 blant de 400 mest populære.
Langt fra alle sårbarheter er like alvorlige. De mest alvorlige regnes gjerne de som gjør det mulig for en angriper, via Internett, å kjøre vilkårlig kode på systemet. Langt mindre alvorlig regnes sårbarheter som krever fysisk tilgang til systemet.
Hele rapporten til Secunia er tilgjengelig her.
Les også:
- [05.11.2013] Én av tre har sårbar Windows-pc
- [08.04.2013] Advarer bedrifter mot XP-utsettelse
- [19.03.2013] Gir millioner til graderte linjer
- [19.03.2013] – For dårlig datasikring i Norge
- [11.03.2013] – Dataranere tar det med ro
- [05.03.2013] Last ned nødfiks til Java
- [14.01.2013] Microsoft med nødfiks
- [14.01.2013] Java-nødfiks til å gråte av
- [21.09.2012] 3 av 4 har ikke oppdatert Java
- [20.09.2012] – Ikke bytt ut IE
- [31.08.2012] Oracle gir ut nødoppdatering til Java
- [05.06.2012] Flame-ormen får hjelp av falsk Windows Update