Zero day, de kwetsbaarheden in de webbrowser nemen toe in 2014

Het aantal zero-day- en webbrowser-kwetsbaarheden steeg in 2014, maar de algehele softwareleveranciers patchen sneller.

De gegevens zijn afkomstig van Secunia, een Deense beveiligingsleverancier die jaarlijks een onderzoek uitbrengt naar trends in softwarekwetsbaarheden, die door hackers worden gebruikt om computers in gevaar te brengen.

Zero-day kwetsbaarheden - dit zijn softwarefouten die actief worden gebruikt door aanvallers toen ze openbaar werden gemaakt - stegen van 14 in 2013 tot 25 vorig jaar. Dat soort fouten behoren tot de gevaarlijkste en meest gewaardeerde door aanvallers, omdat patches niet verkrijgbaar zijn bij leveranciers.

Gebreken in webbrowsersoftware zijn in 2014 toegenomen tot 1.035, tegenover 728 het jaar ervoor, volgens het rapport van Secunia.

Maar het goede nieuws is dat leveranciers sneller gaan om gebreken te verhelpen. Secunia ontdekte dat bij meer dan 83 procent van de 15.435 kwetsbaarheden in 3.870 applicaties een patch beschikbaar was toen een fout openbaar werd gemaakt.

Dat is vergeleken met 78,5 procent in 2013 en veel beter dan in 2009, toen slechts 49,9 procent van de producten een kant-en-klare patch had.

"De meest waarschijnlijke verklaring is dat onderzoekers hun kwetsbaarheidsrapporten blijven coördineren met leveranciers en hun kwetsbaarheidsprogramma's, wat in de meeste gevallen resulteert in onmiddellijke beschikbaarheid van patches", aldus het rapport..

Maar Secunia ontdekte dat als een patch niet klaar was op de dag dat een fout werd onthuld, het waarschijnlijk is dat leveranciers geen prioriteit zouden geven aan een oplossing. Het percentage producten met een pleister klaar een maand nadat een fout was gemeld, steeg slechts tot 84,3 procent.

Secunia heeft ook gekeken naar PDF-software, die vaak het doelwit is van hackers, aangezien deze op bijna elke computer is geïnstalleerd.

De PDF-toepassingen van Adobe Systems behoren tot de meest aangevallen op internet vanwege hun prevalentie. Secunia zei dat Adobe's Reader-programma, dat een marktaandeel van 85 procent heeft, vorig jaar 43 kwetsbaarheden had.

De afgelopen jaren heeft Adobe een agressief programma uitgevoerd om de toepassingscode te scannen op beveiligingsproblemen en snel patches te genereren wanneer er problemen worden gevonden.

Secunia ontdekte dat 32 procent van de computers die het ondervroeg met gegevens van de Personal Software Inspector, die het versienummer van programma's controleert, geen up-to-date versie van Adobe's Reader had, wat gebruikers in gevaar bracht.

Het bedrijf keek ook naar kwetsbaarheden in open-source software, een toenemende bezorgdheid over de veiligheid nadat verschillende ernstige kwetsbaarheden werden gevonden in de OpenSSL cryptografische software.

De eerste serieuze OpenSSL-kwetsbaarheid, bijgenaamd Heartbleed, was voor velen onvoorzichtig vanwege de potentiële impact en de grote verscheidenheid aan programma's die er gebruik van maken. Secunia dacht dat leveranciers sneller OpenSSL zouden kunnen patchen nadat de volgende problemen vorig jaar waren gevonden.

Maar dat was niet het geval. Veel leveranciers hebben niet sneller patches voor andere OpenSSL-fouten na Heartbleed gemaakt, aldus het rapport.

"Organisaties mogen niet veronderstellen dat ze kunnen voorspellen welke leveranciers betrouwbaar zijn en snel reageren wanneer kwetsbaarheden worden ontdekt in producten die zijn gebundeld met open-sourcebibliotheken", aldus Secunia.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.