Top Liste der Applikationen mit den meisten Sicherheitslücken

[Dr.Melzer 191]

Das amerikanische Sicherheitsunternehmen Bit9 hat die Hitliste der Programme veröffentlicht für welche die meisten Sicherheitslücken existieren.

 

Interessanterweise ist Mozilla/Firefox an Platz eins und erst auf Platz 9 kommt eiun Microsoft Produkt (MSN Messenger 5.5).

 

 

1. Mozilla Firefox 1.0.7

2. Apple iTunes 6.02 & Quicktime 7.0.3

3. Skype 1.4

4. Adobe Acrobat Reader 7.02, 6.03

5. Sun Java Run-Time Environment (JRE) 50,

Update 3, JRE 1.4.2_.08

6. Macromedia Flash 7

7. WinZip 8.1 SR-1

8. AOL Instant Messenger 5.5

9. Microsoft Windows/MSN Messenger 5.0

10. Yahoo Instant Messenger 6.0

11. Sony/First4 Internet DRM rootkit and uninstaller

12. BitDefender 9

13. Kazaa 2.0.2

14. RealPlayer 10

15. ICQ 2003a

 

Quelle:

 

http://www.bit9.com/docs/VulnerableApps.pdf

[Tschiki 10]

Schaut irgendwie unrealistisch aus - die Frage ist eher welche Kriterien die angewandt haben.

 

Ich würde ja verstehen - wenn bei der Vendor Solution - Nox Fix steht, das diese Applikation weit oben sind - aber selbst wenn man sich den IE anschaut - der hat in letzter Zeit haufenweise Sicherheitslücken gehabt - davon wurden etliche gefixt - doch der taucht in den Top 10 überhaut nicht auf.

[lefg 276]

Schaut irgendwie unrealistisch aus - die Frage ist eher welche Kriterien die angewandt haben.

Wieso?

[Dr.Melzer 191]

Du kannst ja mal auf der Seite von Bit9 nachsehen. Dort steht wie sie bewertet haben.

 

Soweit mir bekannt ist ging es nur um die absolute Zahl der bekannten Lücken, unabhängig davon ob sie gepatcht wurden oder nicht.

[rakli 13]

Ich habe eine ähnliche Meldung, die auch "seltsam" klingt:

 

Das United States Computer Emergency Readiness Team (US-Cert) hat auf seiner Website den Jahresbericht vorgelegt. Insgesamt wurden knapp 5200 Sicherheitslücken im vergangenen Jahr registriert. Davon betrafen 812 Windows-Betriebssysteme. Unter Unix/Linux wurden insgesamt 2328 Anfälligkeiten registriert.

 

Quelle: http://www.tecchannel.de/news/themen/sicherheit/128757/

 

Rakli

[Dr.Melzer 191]

Ich frage mich warum solche Berichte immer als "seltsam" oder "unrealistisch" bewertet werden, nur weil sie dem gängigen Klischee wiedersprechen dass Windows unsicher sei und Linux nicht.

 

Möglicherweise müssen einige mal ihre Klischees und Feindbilder überdenken... ;)

[overlord 10]

Da is was Wahres dran. Dennoch, ist es doch interessanter,

 

- Wieviele von den Lücken wurden gepatcht? Nach welcher Zeit? Welche "Folge-Lücken" gab es? usw.

 

- Für wieviele Lücken gibt es exploits?

...weil es interessanter ist die Adreßbücher von zich MS-(Outlook) Daus zu klauen, als sich an ein paar ....?...Evolution-Verfechter zu wagen :D

 

Also eigentlich ist das Ganze doch ein ewiges leidiges Thema und solche Berichte (egal in welcher Richtung) sollten immer mit Bedacht behandelt werden.

 

Wer die Vor- und Nachteile div. Systeme kennt - und auch damit umzugehen weiß (!) - diskutiert nicht darüber ;)

[Tschiki 10]

Ich frage mich warum solche Berichte immer als "seltsam" oder "unrealistisch" bewertet werden, nur weil sie dem gängigen Klischee wiedersprechen dass Windows unsicher sei und Linux nicht.

 

Möglicherweise müssen einige mal ihre Klischees und Feindbilder überdenken... ;)

 

Es geht ja jetzt nicht direkt um den Vergleich Windows VS Linux - nur wenn man sich überlegt - MS IE hat die Version 6 schon seit einiger Zeit und es hat auch etliche Lücken, Patches etc. gegeben.

 

Wenn man sich diese Tabelle ansieht ist auf dem 1. Platz der Firefox 1.0.7 welcher vom Zeitraum her gesehen sicherlich kürzer am Markt war als der IE -> und wennn man jetzt davon ausgeht wie Dr. Melzer gemeint hat "Soweit mir bekannt ist ging es nur um die absolute Zahl der bekannten Lücken, unabhängig davon ob sie gepatcht wurden oder nicht." - kann ich mir die Reihung nicht ganz Vorstellen. Der IE müsste zumindest unter den ersten 10 sein.

[Baron_Stuttgart 10]

Wenn man sich diese Tabelle ansieht ist auf dem 1. Platz der Firefox 1.0.7 welcher vom Zeitraum her gesehen sicherlich kürzer am Markt war als der IE.

Außerdem gibt es kein Windows 2000 / XP / 2003 ohne Internet Explorer, wohl aber ohne Firefox.

Irgendwie hat das ein "Geschmäckle".

[Velius 10]

Wir reden hier ja auch von "bekannten" Lücken, was aber das Klische ziemlich unterstreicht. Bei Linux/Unix scheinen aufgrund der Comunities mehr Lücken beannt zu werden, bei Windows eher weniger, was aber genau Doc Melzers Aussage unterstreicht...

 

....nur weil sie dem gängigen Klischee wiedersprechen dass Windows unsicher sei und Linux nicht.

[substyle 20]

Ich stelle mir die Frage, was würde passieren wenn man diese Erhebung

einmal moantlich über ein Jahr lang oder zwei erfassen würde. :suspect:

 

In dieser Konstellation hat das doch eigentlich keine Aussage.

 

subby

[Squire 261]

Wow so richtig aktuelle Software! Schon mal auf die aktuellen Versionsstände geguckt?

 

Firefox = 1.5.0.4

Skype = 2.5.0.113

Itunes = 6.x und Quicktime 7.1

Acrobat = 7.0.8

Java = 5b7

 

was sollen denn die im Anfangspost genannten Kamellen?

[Baron_Stuttgart 10]

was sollen denn die im Anfangspost genannten Kamellen?

ACK. Eine klare Frage zur richtigen Zeit.

Bei Linux/Unix scheinen aufgrund der Comunities mehr Lücken bekannt zu werden, bei Windows eher weniger,

Bei Linux verstehe ich das ja (Quellcode auf der InstallationsDVD mit dabei bzw. frei aus dem Internet herunterladbar), aber bei einem kommerziellen UNIX?

Wenn ich auf meine Homepage schreibe "buffer overflow in libZZZZ unter HP-UX/AIX/... YYY", dann habe ich doch sofort ne Klage von HP/IBM/... am Hals, von wegen Geschäftsschädigung etc. Außerdem habe ich ja gar nicht den Quellcode und reverse engineering ist ja (mind. teilweise) verboten.

Ich stelle mir die Frage, was würde passieren wenn man diese Erhebungeinmal moantlich über ein Jahr lang oder zwei erfassen würde. :suspect: In dieser Konstellation hat das doch eigentlich keine Aussage.

Allerdings. Niicht jede Woche werden 300+ englische Fussballfans in meiner Stadt verhaftet.

 

OT: weiss jemand, woher der Begriff "Kamellen" oder "alte Kamellen" für nur noch historisch interessante Tatsachen kommt? Finanzamt, du vielleicht?

[Velius 10]

 

was sollen denn die im Anfangspost genannten Kamellen?

 

Wahrscheinlich hält nicht jeder seine Software so up-to-date wie Windows, was auch noch längst nicht alle machen....

 

Aber eben, das Klische ist ja, das Windows sowieso das Unsicherste überhaupt ist...:rolleyes:

 

 

Wenn ich auf meine Homepage schreibe "buffer overflow in libZZZZ unter HP-UX/AIX/... YYY", dann habe ich doch sofort ne Klage von HP/IBM/... am Hals, von wegen Geschäftsschädigung etc. Außerdem habe ich ja gar nicht den Quellcode und reverse engineering ist ja (mind. teilweise) verboten.

 

 

Kommt auch drauf an wie du das machst. :wink2: Auf die Homepage stellen würd ich das eh nicht, aber wenn du dich an den Hersteller wendest wären die dir IMHO eher dankbar als böse.

[Baron_Stuttgart 10]

Wahrscheinlich hält nicht jeder seine Software so up-to-date ...

Firefox guggt standardmässig (abschaltbar) nach, ebenso Thunderbird (Mailclient aus dem selben "Haus")

Acrobat Reader auch (mind. seit Version 5)

Flashplayer auch

Quicktime auch

 

Ich habe vielleicht eine andere Meinung zu Update-Automatismen als andere hier <-- aber das ist nur meine Meinung