Lekken blijven jarenlang wijd open

Voor meer dan de helft van de beveiligingslekken die in 2008 bekend zijn geworden, was er tegen het eind van het jaar nog geen patch van de leverancier beschikbaar. Een groot deel van de lekken blijft jarenlang wijd open. Dat staat in een rapport van IBM’s veiligheidsonderzoeksgroep X-Force, dat op maandag gepubliceerd werd. 

De onderzoekers documenteerden over heel 2008 een recordaantal van 7.406 nieuwe kwetsbaarheden. Het gaat hier om het totaal aan zwakke plekken in webapplicaties, software en andere computergerelateerde toepassingen. Slechts 47 procent van de lekken kon eind 2008 worden gerepareerd met een pleister van de leverancier.

Onaangeroerd
Uit het rapport blijkt dat een groot deel van de lekken jarenlang onaangeroerd blijft. Van de kwetsbaarheden die in 2006 aan het licht zijn gekomen, had 46 procent eind 2008 nog geen pleister. Hetzelfde geldt voor 44 procent van de lekken die in 2007 zijn ontdekt.
 

Van de lekken in 2006 en 2007 is een groot deel nog altijd niet gepatcht.

Top tien
X-Force heeft een top tien samengesteld van leveranciers van software waarin gedurende 2008 de meeste lekken zijn vastgesteld. Microsoft voert de lijst aan, gevolgd door Apple, Sun, Joomla, IBM, Oracle en Mozilla. De top tien is goed voor bijna een vijfde van het totale aantal ontdekte lekken in 2008.

Gelukkig gaan die leveranciers zorgvuldiger met hun producten om dan de grote meerderheid. Ze lieten vorig jaar slechts een vijfde van de ontdekte lekken in hun software ongepatcht. De resterende kwetsbaarheden erkenden ze publiekelijk en ze stelden er ook een pleister voor beschikbaar. 

De overige leveranciers lieten meer dan zestig procent van de kwetsbaarheden openstaan. Daartoe rekent X-Force óók de bedrijven die een lek in stilte repareerden, zonder daarvan een aankondiging te doen.
 

Top tien van leveranciers met de meeste ontdekte kwetsbaarheden in 2008.