» »

Najbolj luknjičav Apple

Najbolj luknjičav Apple

TG Daily - Secunia je objavila polletno poročilo (PDF-datoteka) o ranljivostih v izdelkih različnih proizvajalcev, ki so bile odkrite letos. Neslavno prvo mesto je pripadlo Applu, a to ni edina plat medalje.

Deset proizvajalcev z največ ranljivostmi je odgovornih za 30 odstotkov vseh odkritih ranljivosti. Da bi dobili zgodovinski pregled, so pri Secunii teh deset preučili za nazaj do leta 2005 in narisali graf. Ugotovili so, da so bili na prvih treh mestih ves čas Oracle, Apple in Microsoft, le nekoliko so se izmenjevali v vodstvo. Letos vodečemu Applu sledi Oracle, tretji je Microsoft. Zanimivo je, da povečanemu vlaganju v varnost navkljub nobeno izmed teh podjetij ni uspelo zmanjšati števila odkritih ranljivosti - nasprotno, krepko je raslo.

Druga plat medalje pa pravi, da je večina Applovih ranljivosti bolj teoretične narave, medtem ko so Microsoftove v praksi mnogo laže in tudi pogosteje zlorabljene. Nadalje, ker je uporabnikov Microsoftovih programov mnogo več, dejansko 90 odstotkov vseh zlorab odpade nanje. Žalostno je, da se je število ranljivosti, ki prežijo na povprečnega uporabnika računalnika s povprečno programsko opremo, povečalo z 220 na 420 v zadnjih treh letih, letos pa grozi vnovična podvojitev. Od teh je več kot polovica resnih ali kritičnih.

35 komentarjev

BALAST ::

Škoda denarja za tako raziskavo, ker če so potencialne ranljivosti težko izvedljive, potem ni objektivnega merila, ali to dejansko je ranljivost.

Dajte še naredit raziskavo za povzročevalce raka katerih je veliko, ampak brez objektivnih meril je vsaka taka raziskava brez pomena za javnost.

zee ::

Hihi...najbolj črviv je Apple :D

Zdi se mi dober izraz. Se mi pa zdi zanimivo, da so na vrhu vedno isti.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

SLO_Matej ::

Iz grafa je razvidno, da je v teh petih letih Apple vedno pred Microsoftom po št. ranljivosti. Morda pa Appleov Mac OS X, le ni toliko varnejši od Microsoftovih Windowsev (očitno je prav nasprotno).

desperados ::

Mogoče so apple programi res bolj črvivi ampak saj piše
However, the threats that Apple users face are not as risky or damaging as those on PC platforms.
Mogoče me je kdaj pa kdaj prijelo, da bi kupil kakega "meka" sedaj pa vidim, da za vedno ostajam na Linuxu :P

Afo ::

O hvala slotechovci za ponovni "test" ranljivosti, od katerega izvem natančno nič. Tako bodo nekateri manj poučeni lahko tu videli razlog za svojo neutemeljeno sovražnost do tega ali onega proizvajalca.
Bolje biti mlad in neumen, kot samo neumen!

techfreak :) ::

Secunia je objavila polletno poročilo (PDF-datoteka) o ranljivostih v izdelkih različnih proizvajalcev, ki so bile odkrite letos.

Torej govorijo o odkritih ranljivostih, kar še ne pove o tem kako ranljiv je software.

WamPIRe- ::

Afo je izjavil:

O hvala slotechovci za ponovni "test" ranljivosti, od katerega izvem natančno nič. Tako bodo nekateri manj poučeni lahko tu videli razlog za svojo neutemeljeno sovražnost do tega ali onega proizvajalca.

Saj niso slo-techovci naredili testa... so samo objavili povzetek.
Msi Z77 | Intel i7-3770K | Kingston HyperX DDR3 16GB
CM Silent Pro Gold 700W | Asus RTX 2080 | Samsung 850 EVO 250GB
Samsung 850 EVO 500GB | 2x Asus ROG PG279Q

r0ker ::

no je treba povedat, da tisti, ki mamo kaj pojma vemo kakšno je stanje in zakaj je takšno. če pa pomislimo na laike je pa ta članek (po moje!) zavajajoč in težko razumljiv...

poweroff ::

Seveda je težko razumljivo... napraskaš zadnje pare,d a si kupiš sočno jabolko.. pol pa ugotoviš, da je črvivo. :))
sudo poweroff

Putr ::

In kaj naj jest s tem grafom počnem k so vse črte več al mn iste barve?

Limit-sky ::

poweroff je izjavil:

Seveda je težko razumljivo... napraskaš zadnje pare,d a si kupiš sočno jabolko.. pol pa ugotoviš, da je črvivo. :))

Tale je tudi močna. Še en kandidat za zmagovalca tekmovanja. :D
Keep'em coming...

driver_x ::

Limit-sky je izjavil:

poweroff je izjavil:

Seveda je težko razumljivo... napraskaš zadnje pare,d a si kupiš sočno jabolko.. pol pa ugotoviš, da je črvivo. :))

Tale je tudi močna. Še en kandidat za zmagovalca tekmovanja. :D
Keep'em coming...


Matthai, ne žaliti verskih čustev, te bodo prijavili!

Dr_M ::

So pa crvi s stilom :))
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

AndrejS ::

Po novem bodo v jabolka dajali barvne črve ... za doplačilo seveda :D

Tear_DR0P ::

mah - kako že gri tisti pregovor - kdor dela greši.

ostali očitno malo manj delajo
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

_Dormage_ ::

Nič od tega realno..
Statistika bo še svet uničla..

Furbo ::

Nadalje, ker je uporabnikov Microsoftovih programov mnogo več, dejansko 90 odstotkov vseh zlorab odpade nanje.


Zdaj mi je jasno, po kakšni logiki je linux najbolj varen. Ne, najbolj varen je OS mojega pralnega stroja.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014

Jumping Jack ::

Ojoj, groza 8-O Ni mi jasno, kako sploh lahko kdorkoli objavi tako "raziskavo".... Že iz samega grafa bi moralo biti vsakemu na daleč očitno, da je tole največji možen absurd.

Par stvari:

  1. Kako je možno med seboj primerjati POPOLNOMA različne firme s POPOLNOMA različnimi produkti (npr. Cisco in Adobe)??? "Tvoj bicikel ima več varnostnih ranljivosti kot moj glavnik. -- Aja? A bejž no..." Dobro, da vem, da bom naslednjič namesto Photoshopa raje kupil Ciscov switch, ker je bolj varen...

  2. Kako je možno vreči v isti žakelj kar vse produkte neke firme? Microsoft dela vse od igrač do izredno kritičnih produktov. Ranljivost v Mine Sweeperju pač ni isto kot ranljivost v SQL Serverju.

  3. Vsakemu bi moralo biti jasno, da več ko ima podjetje produktov, več bo potencialnih ranljivosti. Npr. moj edini javno objavljen produkt je zastonj programček s približno 20 uporabniki (in tudi približno toliko vrsticami kode). Zaenkrat še ni bila odkrita nobena ranljivost, torej sem boljši proizvajalec softvera kot Microsoft?

  4. Še en lep primer absurdnosti: združevanje podjetij. Recimo, da so Oracle, Sun in BEA relativno kvalitetna podjetja, od katerih ima vsako samo 100 ranljivosti, medtem ko jih ima Microsoft 200, torej vsi so voljši od Microsofta. Nato Oracle kupi Beo in Sun, in kar naenkrat ima Oracle 300 ranljivosti, in brez da bi se v njihovih produktih karkoli spremenilo, vsi skupaj postanejo "slabši" od Microsofta.

  5. Kako lahko vse ranljivosti štejejo enako? Ranljivost, ki v najslabšem primeru povzroči, da se nekemu uporabniku prikaže neželeno sporočilo, pač ni enako težka kot ranljivost, zaradi katere lahko Amazonu ukradejo številke kreditnih kartic vseh njihovih strank.

  6. V primerjavo so vključena podjetja s POPOLNOMA različno verjetnostjo odkritja ranljivosti: open-source ponudniki softvera (izvorna koda z vsemi ranljivostmi vred je javno objavljena), closed-source ponudniki softvera (softver je javno objavljen v izvršljivi obliki), in online ponudniki storitev (tako izvorna kot izvršljiva koda sta zaprti). Google svoje ranljivosti javno objavlja? Ja, sigurno...

Verjetno bi lahko naštel še marsikaj, ampak mislim, da je že tole več kot dovolj.
Avtorjem te "raziskave" bi morali doživljenjsko prepovedati uporabo statistike, ker bodisi nimajo o njej najmanjšega pojma, ali pa (bolj verjetno) namerno zavajajo ljudi, ki nimajo pojma.

Kakorkoli, urednike Slo-Techa bi prosil za malo kritične presoje pred objavo takih in podobnih "raziskav". Namreč vsak, ki ima 5 minut časa, lahko sešteje par številk in jih da na graf; ampak če ima ta graf DEJANSKO nek pomen, je pa popolnoma drugo vprašanje... In od Slo-Techa bi pričakoval malo višji nivo verodostojnosti informacij kot od trač revij.

"Nasvet za hujšanje: uporabljajte VMware namesto Apple." ;((

Afo ::

WamPIRe- je izjavil:

Afo je izjavil:

O hvala slotechovci za ponovni "test" ranljivosti, od katerega izvem natančno nič. Tako bodo nekateri manj poučeni lahko tu videli razlog za svojo neutemeljeno sovražnost do tega ali onega proizvajalca.

Saj niso slo-techovci naredili testa... so samo objavili povzetek.

Ja doh da niso oni naredili testa. Komentar je letel na dejstvo da je takih novic na S-T malo morje. Obiskovalcev S-Tja pa take novice ne izobražujejo nič bolj kot novice s kom se je lady Gaga poročila.
Bolje biti mlad in neumen, kot samo neumen!

lurker ::

S kom pa se je poročila?

No, povedat hočem, da novic nikol ni preveč. Kaj pa kdo naredi z vsebino novice je pa njegova stvar. Recimo, mene ne bi motilo, če bi na Slo-techu zvedel tudi kaj o Gady LaLa.

Mr.B ::

Jumping Jack , glej ti dam tipični primer.
Tvoja točka 1 :
Adobe kupi Cisco (ha ha ha). V ADOBE Production Sutu, naredim projekt , kjer finaliziram film recimo Avatar2. Sedaj pa jaz v tvojem Cisco routerju uporabim neko nepomembno lukno, ki promet na tvojo backup lokacijo, naredi še mirror promet na mojo lokacijo.
Potem ker imam kompletni projekt, samo špice zamenjam, in to objavim. Luknja je načeloma nepomembna, kriv bo pa Adobe, ki luknje v Cisco Routerju, ni odpravil. Od tu 1+1 se luknje seštevajo, Seveda je prometa za tak film preveliko, lahko pa je recimo backup lokacija, tvoje produkcijske baze naročnikov....
Tvoja točka 2 : Glej točko ena, banalna napaka, ki lahko povzroči miljonski izpad...
Tvoja Točka 3 : Nimam kaj za komentirati. Kolikor večji je tržni delež penetracije, toliko bolj je produkt zanimiv, za razna druga opravila ?
Tvoja Točka 4: , glej Točko 1.
Tvoja Točka 5 :
Glej vsi, ki se ukvarjajmo, ali zavedamo o varnosti vemo da je za probleme v večini primerov kriv Uporabnik, ki tako brezvestno meče okoli podatke. Fishing, je bolj zanimiv, ko nameščanje zlobne kode. Problem je da uporabnik ne razume, če se politično izrazim, Materije, potem pa to dobi v roke politik, ki verjetno še manj razume to Materijo, in naredi zakon, mrežo, ali podobno, ki bo ščitila take uporabnike. Politik pa ne razume ,da tak tup tup uporabnik , brez kakršnega koli zadržka, pove zadnje tri številke na zadnji strani VISA kartice, če le dobi tako vprašanje. Ej sej me sedaj pa država ščiti.

Tvoja točka 6 : Glej točko tri.

PS : Če pralni stroj ima bluetooth, potem je skoraj vrjetno ranljiv, in se ga lahko uporabi kot morilsko orožje. Za načine pa uporabite lastno domišljijo.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Zgodovina sprememb…

  • spremenil: Mr.B ()

Jumping Jack ::

Mr.B, mislim, da si malo narobe razumel. Namen mojega posta ni bil diskutirati o varnostnih problemih, ampak zgolj izpostaviti nesmiselnost takihle "raziskav".
Jasno, da se ranljivosti "seštevajo", ko dodajaš tehnologijo na kup (ko uporabljaš več produktov istočasno). In jasno, da za ranljivosti odgovarja tisti, ki je lastnik produktov. Ampak enostavno sešteti število znanih ranljivosti v vseh produktih posameznih firm, in te številke primerjati med sabo, je pa prekleto zgrešeno (zaradi razlogov, ki sem jih naštel). Torej samo "raziskavo" sem kritiziral, nič drugega.

Mr.B ::

Jumping Jack, narobe razmišljaš.

Glej sem francelj, uporabljam produkt samo enega proizvajalca. Francel dobil dobre posle, sedaj uporablja produkte dveh proizvajalcev. Potem sem nek Enterprise, kjer uporabljam deset proizvajalcev, z n različnimi produkti in funkcijami. Sedaj delam replikacijo finančnih podatkov med SQ bazo, ORacel produkcijo, in DB2 bazo. Torej imam sedaj tri produkte ki imajo svoje ranljivosti, dejansko z uporabo treh produktov, imam statistično 3x večjo verjetnost ranljivosti (pod pogojem da imajo vsi enako število lukenj) kot če uporabljam samo en produkt. Torej to je problem, gledati je potrebno širše, ne to kar mene direktno prizadene, potem je objavljena statistika neuporabna.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

techfreak :) ::

Kolikor vem so to samo odkrite ranljivosti, ki so jih popravili. Nobeden ne ve koliko je takšnih za katere javnost in proizvajalec ne ve.

Utk ::

Tiste za katere nihče ne ve, ne obstajajo :)

techfreak :) ::

Utk je izjavil:

Tiste za katere nihče ne ve, ne obstajajo :)

Mogoče pa bad guys poznajo kakšne.

Utk ::

Potem nekdo ve za njih.

techfreak :) ::

Utk je izjavil:

Potem nekdo ve za njih.

Seveda, ampak ta oseba ne spada med javnost ali proizvajalca.

poweroff ::

Oh, poglejte si kakšne predstavitve od Phenoelit. S tem, da so oni te zadeve, ki jih prestavljajo danes vedeli že vsaj par mesecev, celo let prej. Najbolj legendarna je bila tista, ko je FX ugotovil kako z enim samim magičnim paketkom rootnit katerikoli Cisco router...
sudo poweroff

mRobert200 ::

Ok, mene pa nekaj drugega zanima. GOOGLE, ANDROID. Je tam na koncu ena pikca, ni grafa. A to pomeni da je nastal leta 2010? Ker google crome je že dalj časa zunaj? In če da? A to pomeni, da na začetku delajo dobro, potem pa vidijo, da je bolje narediti luknjastega, ker vidijo neke svoje interese?

mRobert200 ::

http://slo-tech.com/novice/t395790#crta
Tu pa piše da je mozila najbolj ranljiva, kaj sedaj men ni jasno?

denial ::

mRobert200 je izjavil:

http://slo-tech.com/novice/t395790#crta
Tu pa piše da je mozila najbolj ranljiva, kaj sedaj men ni jasno?


Oh, the joys of security metrics :D
SELECT finger FROM hand WHERE id=3;

MrStein ::

Mr.B je izjavil:


Glej vsi, ki se ukvarjajmo, ali zavedamo o varnosti vemo da je za probleme v večini primerov kriv Uporabnik

Horda zlobnih uporabnikov je leta 2001 sredi noči vdrlo v premise Microsofta in tajno vgradila v Windows kodo VIS (Virus Import Service), ki od takrat laufa in preko mreže svobodno pušča v sistem viruse in črve ala Blaster &amp: co.

Ubogi MS, ki mora pucati zlobno vstavljeno kodo uporabnikov iz Windows.

1.) Mozilla ima letos tak padec?
2.) Te barve v grafu so za en *****. A niso opazili, da ima 90% folka zdaj LCD monitorje, kjer je barva piksla odvisna od položaja gledalca? ;((
(JPEG blur stvar samo še "izboljša")
3.) Kake izdelke pa ima Oracle??? Bazo? Še kaj?

desperados je izjavil:

Mogoče so apple programi res bolj črvivi ampak saj piše
However, the threats that Apple users face are not as risky or damaging as those on PC platforms.
Mogoče me je kdaj pa kdaj prijelo, da bi kupil kakega "meka" sedaj pa vidim, da za vedno ostajam na Linuxu :P

Zanimivo, Linux ni omenjen nikjer.

<anti linux fanatic mode=on>
Aja, ker Linux ni relevanten ;)
</anti linux fanatic mode>
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

noraguta ::

3.) Kake izdelke pa ima Oracle??? Bazo? Še kaj?


Ranking of the Top-10 vendors with most vulnerabilities per year. Oracle includes also vulnerabilities from Sun Microsystems Figure 2 and BEA logic.
Pust' ot pobyedy k pobyedye vyedyot!

Zgodovina sprememb…

  • spremenilo: noraguta ()

MrStein ::

Aha, Javo so zraven šteli... (I forgot...)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VUPEN že odkril ranljivosti v Windows 8

Oddelek: Novice / Varnost
134987 (3755) ender
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4018690 (15729) Iatromantis
»

Microsoft v zadnjem letu odkril sto ranljivosti v tretjih programih

Oddelek: Novice / Varnost
114135 (3093) BigWhale
»

Najbolj luknjičav Apple

Oddelek: Novice / Apple iPhone/iPad/iPod
3510537 (8251) MrStein
»

Poganjanje Windows brez administratorskih pravic varneje (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
5815313 (13177) noraguta

Več podobnih tem