Critici beschuldigen Microsoft vaak van traagheid als het aankomt op het uitbrengen van patches voor kritieke beveiligingsgaten. Apple zou het veel beter doen. Een Zwitsers onderzoek wijst nu het tegendeel uit.
Microsoft brengt patches voor kritieke beveiligingsgaten in zijn besturingssysteem sneller uit dan Apple. Dit blijkt uit onderzoek naar patchen (PDF) door het Zwitserse Federale Instituut voor Technologie. Onderzoekers van die instantie hebben gekeken naar de tijd tussen het publiek bekend worden van zwakke plekken en het verschijnen van een patch daarvoor.
Hierbij is voor de afgelopen zes jaar gekeken naar zogeheten zero-day beveiligingsgaten in Windows en Mac OS X. Zero-day gaten zijn zwakke plekken waarvoor al direct malware ‘beschikbaar is’, dus rondwaart op internet. Voor Microsoft zijn 658 zwakke plekken meegenomen in het onderzoek, en voor Apple 738 stuks. Onderzoeker Stefan Frei zegt ook verbaasd te zijn over de uitkomst, die tegengesteld is aan de reputatie zowel Microsoft als Apple. "Toch is het aantal niet-gedichte gaten hoger bij Apple." De Mac-maker laat zich graag voorstaan op zijn veilige systeem en maakt daar juist reclame mee.
Minder alert
De onderzoekers merken op dat de Mac-maker tot 2005 telkens minder dan twintig openstaande gaten had, op het moment dat die publiekelijk bekend werden. Sindsdien zit Apple daar geregeld boven, meldt Frei. Hij beredeneert dat Apple aanvankelijk waarschijnlijk minder kritieke – en vooral zero-day – gaten had, en daardoor mogelijk minder alert was in het tijdig ontwikkelen en uitbrengen van patches.
Uit het onderzoek blijkt ook dat zowel Microsoft als Apple minder goed zijn met tijdig patchen in de zes maanden vóór het uitbrengen van een nieuwe versie van hun besturingssysteem of een service pack (SP) daarvoor. De interne ontwikkelaars zijn dan kennelijk druk bezig met de nieuwe versie en niet met het onderhouden van de huidige.
Overigens heeft het Zwitserse onderzoeksinstituut een samenwerking met Microsoft voor de verbetering van software voor ingebedde systemen. Die samenwerking is begin maart dit jaar opgezet en heeft een looptijd van vijf jaar. Dit draait om efficiëntere ingebedde software, niet per se om betere beveiliging voor dat type software.
Waar is een weging van de ernst van de “zwakke plekken”?
Apple gebaseerd op BSD is van nature heel veel veiliger als Windows ooit zal zijn.
Ik ben bang dat MS vindt dat Apple momenteel te goed verkoopt, dan doen we weer een “onderzoek” dat windows er beter uit laat komen. Die truuk is inmiddels wel heel oudbakken.
De heer van Leeuwen, met z’n reactie hierboven:
Ooit wel eens bedacht dat als je ervaring op doet, door de jaren heen, kennis inkoopt door bedrijven in te kopen, je product uiteindelijk ook gewoon beter in de markt zou kunnen presteren en resulteren…, ooit wel eens bedacht dat na veel vallen en opstaan, een looppas het gevolg zou kunnen zijn, en misschien een wereld kampioenschap daar ook wel eens in zou zitten?
Apple levert zgn. ‘Open source’ onderdelen mee in zijn besturingssysteem. Hierdoor is het voor derde partijen gemakkelijk eventuele zwakke plekken te vinden en te publiceren voordat Apple de gelegenheid heeft gehad ze officieel te corrigeren.
De zwakke plekken in deze software zijn door het Zwitserse Federale Instituut voor Technologie meegeteld, maar men is ‘vergeten’ de oplossingen mee te tellen die door de Open Source gemeenschap aangedragen zijn voor de zwakke plekken in deze onderdelen.
Microsoft heeft een enorm voordeel want het dicht gaten die niet bekend zijn bij het grote publiek, simpelweg omdat het gesloten code hanteert. Dit is slechts een van de redenen waarom het onderzoeksresultaat een behoorlijk vertekent beeld geeft.
Hoewel ik het niet geheel eens ben met dhr. Van Leeuwen kan ik me zijn gedachte goed voorstellen. E?n en ander is bepaal geen reclame voor het Zwitserse Federale Instituut voor Technologie.
Dit maakt het nou niet echt geloofwaardig:
“Overigens heeft het Zwitserse onderzoeksinstituut een samenwerking met Microsoft voor de verbetering van software voor ingebedde systemen”
Gesponsporde FUD van een ‘neutraal’ bedrijf, dit gebeurt al jaren. Wie er nog in gelooft, is de vraag.
@ Mark Peter: Ik ben bang dat Microsoft daar te consistent voor is. http://www.demotivators.com/consistency.html