Schwachstellen-Statistik: Android, Windows & Co

Dieses Thema im Forum "Linux" wurde erstellt von Jörg, 6. Januar 2017.

  1. Jörg

    Jörg |||||

    Ganz interessant, eine Statistik für 2016 zu Schwachstellen in Betriebssystemen und Anwendungen:
    http://www.cvedetails.com/top-50-products.php?year=2016

    Natürlich hat diese Statistik ein paar offensichtliche Probleme, so dürfte Android wahrscheinlich deswegen auf Platz 1 stehen, weil für Android (im Gegensatz zu Windows und Linux) nicht nach Versionen differenziert wird.
    Ein paar Perlen sind aber drin, so hatte Chrome angeblich mehr Schwachstellen als der Internet Explorer. :mrgreen:

    Vielleicht interessiert es den ein oder anderen... ich fand es jedenfalls ganz amüsant.
    Ich habe das lieber in den Funktionsraum gestellt weil gleich sowieso das übliche Gebashe losgeht. Wir sehen uns dann in "failed". :mrgreen:
     
  2. Moogulator

    Moogulator Admin

    Wüsste nicht, weshalb man da bashen sollte.
    Betriebssysteme haben Fehler. Das man sie überhaupt einsortiert ist ganz niedlich, aber selbst wenn das eigene nicht auf "Platz 1" steht, so weiss sicher jeder - sicher gibt es nicht.

    Bei Android gibt es natürlich noch das Problem, dass nicht alle updaten können.
    Ähnlich ist das bei älteren Geräten, wo Updates die Performance so stark begrenzen, dass man da eigentlich andere Maßnahmen machen müsste.
    Es fehlt sowas wie ein schlankeres OS oder besser noch die Trennung von Sicherheitsupdates und Funktionssachen im Bereich von Gadget und wesentlichen Bestandteilen. Alle 3 sollten verschiedene Einstellungen bieten zu autoupdate und so weiter.

    Vom Router bis zum Tablet und zum Musikrechner.
    Wir sitzen sowas von im gleichen Boot. Aber es besteht aus verschiedenen Planken. Unser Schiffsingenieur repariert das in 10 Minuten.
     
  3. Jörg

    Jörg |||||

    Ich glaube die Aussagekraft solcher Rankings ist sehr begrenzt.
    Was mich aber total überrascht ist, wie viele Schwachstellen Linux haben soll!?
    Vielleicht kann einer der anwesenden Linuxianer ein bisschen Hintergrund beisteuern?
     
  4. micromoog

    micromoog Rhabarber Barbara

    Gut das TOS 2.06 nicht in den TOP50 auftaucht, da fühle ich mich doch gleich viel sicherer :mrgreen:
     
  5. Moogulator

    Moogulator Admin

    Linux ist DAS Serverdingens - daher wird alles gesucht und gefunden, um da rein zu kommen.
    Das Fixing läuft auch etwas anders als bei großen Konzernen.

    Aber ggf. kann in der Tat ein Linuxer das näher bringen. Sicherheit ist halt bei Servern deshalb bekannter, weil es da offene Quellen gibt, während es sicher wenige bis keine OS X oder iOS Server geben wird, dh - deren Sicherheit wird eher am Client und Heimpc gemessen, andere Anwendung. So Dinge …
     
  6. Jörg

    Jörg |||||

    Ahh ja, plausibel! :idee:
     
  7. khz

    khz D@AU ~/Opportunist/Orwell # ./.cris/pr.run

    Android ist weit verbreitet (und btw. wenn überhaupt ein kaputtes Linux zu Gunsten Google "klick and go") und wird ja eher überhaupt nicht upgedatet. Du kaufst halt nach 2 Jahren neues delephone.
    Linux ist im Serverbereich/Router/Fernseher/Sicherheitsbereich... weit verbreitet und daher interessant. Werden auch offen/Zeitnah zugegeben und gefixt die Lücken.
    Bei Windows und Mac - die eher im Endanwender/Konsumerbereich benutzt werden - denke ich ist es weniger Transparent bzg. Lücken etc. und man bekommt im Idealfall eine nichtssagende Nummer bzw. wird wenn nicht unbedingt nötig auch nicht offengelegt und gefixt (ergo taucht auch in der Statistik nicht auf). Auch für Angriffe ist es die unterste Ebene (Endanwender im Gegensatz zu Serverbereich/Router).

    In Zeiten der PostNeuzukunft dürften auch Systeme interessanter sein die ~sicherer (sind sie nicht wirklich, nur ehrlicher und schneller im fixen im Idealfall) sind bzw. nicht ohne weiteres mit einem oder mehreren $Geheimdienst arbeiten da diese ja bekanntlich von KP/terrorXXXen/.. verwendet werden? => Neusprech:Cyberwar.
    Da die grossen Player zuvorkommender sind in manchen Bereichen (KP/terrorXXXen/..) besteht überhaupt kein bedarf zu Hacken, haben ja Zugriff.

    Das ist fundiertes Halbwissen - Todesstrafe bei Sonnenschein - Koh Tao ist abgesoffen.
     
  8. Moogulator

    Moogulator Admin

    Sieht so aus, dass wir da sehr ähnliche Ansichten zu haben scheinen.
    Bleibt vielleicht echt nur zu sagen - man sollte bedenken, dass irgendein Linux in jedem ioT Dingsi stecken könnte und kann, ggf. sogar Android drin, je nach Lizenz, würde ich aber auf Linux tippen, und fett in der Hypeschleife sind schlaue Laberzylinder, die eine Buchbestellung und die Wetterdaten sagen können.

    Alexa-Genevieve, geh ma mitn Hund raus.
     
  9. khz

    khz D@AU ~/Opportunist/Orwell # ./.cris/pr.run

    <OT>: Laberzylinder ist gruselig, übertragen alles auch im Standby Modus an ~/Konzern und man bezahlt auch noch dafür :selfhammer: ... wobei dein Mobile macht das ja auch schon seit x Jahren sogar mit Bild/Video :phat: ... ich verstehe so Leute nicht die an das "gute" Glauben ... .</OT>

    Software hat immer irgend -wo -wann Lücken oder wird an die Zeit angepasst!
    Ein System das nicht Transparent ist und selten Sicherheitsupdates veröffentlicht finde ich nicht grade besser/vertrauenswürdig. Bequem und dabei sein Hip.
    Wir sind (noch) frei und jeder kann selbst entscheiden für was er steht und was er unterstützt. Und das was (die Mehrheit) fördert/unterstützt wird zur Realität. Nicht gewusst/dabei ist faule Ausrede. Hilft aber ungemein!
     
  10. m1rk0

    m1rk0 .

    Zu Linux: wenn man sich die Einträge z.B. zu Debian mal anschaut (einfach auf die Zahl dahinter klicken) dann stellt man schnell fest, dass dort offenbar alles subsumiert ist, was bei Debian als Paket mitgeliefert wird. Das ist natürlich viel mehr als auf einem typischen Desktop-Rechner (egal unter welchem Betriebssystem) tatsächlich installiert wird und auch viel mehr als bei anderen Betriebssystemen überhaupt mitgeliefert wird. Die Liste geht los mit Schwachstellen in:

    KMail - Emailprogramm
    libav - Video- und Audio-Tools
    Django - ein Web-Application-Framework für Python
    Wireshark - Netz-Analyse-Programm
    OpenJPEG - Jpeg2000-Codec
    Charybdis - IRC-Server

    Davon würde ich gerade mal libav und OpenJPEG als zum Betriebssystem gehörig betrachten. Das andere sind entweder Anwendungs- oder Serverprogramme oder Frameworks. Ich könnte mir vorstellen, dass man Django oder Charybdis genauso auf einem Windows-Server laufen lassen kann, nur sind sie halt nicht auf der Installations-CD dabei. Im Gegensatz dazu fängt die Liste von Windows 10 tatsächlich mit Schwachstellen an, die Treiber oder Grafik-Komponenten betreffen, so wie man das erwarten würde.

    Mirko
     
  11. Jörg

    Jörg |||||

    Ah, danke!
    Das Ranking ist wahrscheinlich wirklich nicht sehr sinnvoll.
     
  12. Anonymous

    Anonymous Guest

    Ich führe meine eigene Statistik, die mir einmal im Leben Probleme mit einem Virus beschert hat. Das war irgendwann kurz nach der Jahrtausendwende. Ansonsten sollte man bedenken, dass die Medien immer gutes Geld mit Angstmeldungen verdienen.
     
  13. khz

    khz D@AU ~/Opportunist/Orwell # ./.cris/pr.run

  14. psicolor

    psicolor Busfahrer und Bademeister

    Linux ist inzwischen mit gigantischem Abstand das meistverwendete Betriebssystem auf dem Planet.

    Ich finde das beeindruckend. Vor 10 Jahren hätte ich sowas vielleicht NetBSD zugetraut, aber sicher nicht Linux, das ja eigentlich nur für x86-er Workstations gedacht ist. Naja, heute findet man es nicht nur auf Workstations, Servern und Supercomputer-Clustern, sondern vorallem auf Routern, Handys, Autoradios und Navigationssystemen.
     
  15. bluebell

    bluebell ....

    Linux-Distributionen wie Debian bringen Tausende von Anwendungen mit und müssen sich alle Lücken aller Anwendungen mitaufrechnen lassen.

    Das wäre so, als wenn sich Windows Sicherheitslücken von Teamviewer, Symantec-Produkten und Skype anrechnen lassen müsste.
     
  16. khz

    khz D@AU ~/Opportunist/Orwell # ./.cris/pr.run

  17. starling

    starling Guest

    Kein Wunder solange der Verdacht besteht daß die aktiv Leute in solchen Projekte dazu bringen Lücken einbauen...
    Und welche Lücken es in WIn 10 gibt kann ja keiner überprüfen...
    Wobei es schon denkbar ist daß es sicherer ist.
     
  18. tichoid

    tichoid Maschinist

    Nun ja, man muss auch die NSA verstehen.. ;-) Wenn ich ein Interesse daran hätte, die Leute leicht abzuhören, würde ich auch sagen dass das in Wirklichkeit sicherere OS (wo ich mehr Arbeit mit habe) das unsichere ist. Manch einer switcht* dann vielleicht zu W10 und die die es schon benutzen, fühlen sich sicher. Klassische Win-Win-Situation..



    *) kann ich mir eigentlich nicht vorstellen
     
  19. khz

    khz D@AU ~/Opportunist/Orwell # ./.cris/pr.run

  20. psicolor

    psicolor Busfahrer und Bademeister

    Apropos: Egal ob Windows, GNU/Linux oder MacOS - die einzige sinnvolle Abschätzung der Sicherheit von so aufgeblasenen Betriebssystemen bzw -Distributionen mit 1000ten von Treibern und noch mehr Dienstprogrammen lautet: unsicher.