Computerworld News Service: Apple gik fra en andenplads i 2007 til at skubbe Microsoft af pinden, som er faldet til en tredjeplads bag open source content management-systemet Joomla.
Det var tæt løb mellem de endelige resultater, ifølge IBM X-Force 2008 halvårsrapport, hvor Apple opnåede et sårbarheds-afsløringsresultat på 3,2 procent, efterfulgt af Joomla på 2,7 procent og Microsoft på 2,5 procent.
IBM forbliver på fjerdepladsen, efterfulgt af Sun, som er ny på top fem, mens Oracle og Cisco faldt til henholdsvis sjette- og syvendepladsen.
Introduktionen af Common Platform Enumeration, CPE, til X-Force-databasen, betød, at PHP-baserede Joomla, WordPress og Drupal gik ind på en top ti på listen.
IBM forklarer det med fejl i webapplikationer, hovedsagligt cross site scripting (XSS) og SQL-injektioner, som tilsammen står for 51 procent af alle sårbarheder.
Rapporten hævder, at PHP ville have indtaget en fjerdeplads i 2007, hvis CPE-reglerne havde været gældende på daværende tidspunkt.
"Fra 2007 til første halvår af 2008 stod sårbarheder ved webserver-applikationer for 51 procent af samtlige afslørede sårbarheder.
Microsoft indtager førsteplads
Microsoft indtager stadig førstepladsen for antallet af såkaldte public exploits, efterfulgt af Hewlett-Packard og Apple. Disse tre leverandører står for omkring halvdelen af samtlige exploits fra listens top ti.
Internet Explorer og Mozilla Firefox oplevede et markant fald i kritiske sårbarheder i forhold til 2007.
Begge browsere havde seks sårbarheder inden for hukommelse, hvilket er et fald fra henholdsvis 20 og 8 i 2007. Firefox havde en enkelt sårbarhed om omgåelse af sikkerhedszone samt en enkelt anden sårbarhed mindre end Internet Explorer.
X-Force hævder, at 94 procent af alle browser-exploits forekommer inden for 24 timer efter afsløringen af en sårbarhed.
Ifølge X-Forces driftsleder Kris Lamb vil det reducere antallet af angreb, hvis de uafhængige sikkerhedseksperter holder op med at offentliggøre angrebskoden sammen med sårbarhedsafsløringen.
"Uden en ensrettet procedure for afsløring af sårbarheder løber sikkerhedsbranchen den risiko faktisk at booste online-kriminalitet;" udtaler Lamb.
"Der er en grund til, hvorfor X-Force ikke offentliggør angrebskoden for de sårbarheder, som vi finder, og måske er det på tide, at andre inden for dette felt genovervejer at optage denne praksis."
Oversat af Thomas Bøndergaard
