Veel meer lekken in software gevonden

In totaal is sprake van een stijging van ruim 120 procent ten opzichte van 2016, toen er 6447 lekken werden gemeld. Dat blijkt uit de CVE-lijsten. CVE staat voor Common Vulnerabilities and Exposures en is de wereldwijde standaard voor identificatienummers van kwetsbaarheden. De CVE’s worden uitgegeven door de Amerikaanse overheidsorganisatie Mitre, die ook voor het beheer van de database met CVE’s zorgt. Het gaat hierbij dus alleen om lekken die officieel aangemeld zijn bij deze database.

De stijging kan deels verklaard worden uit de uitbreiding van het aantal bug bounty-programma's. Steeds meer bedrijven hebben zo'n programma waarbij vinders van lekken beloond worden.

Niet alleen zijn er meer lekken gevonden, het aantal ernstige lekken is eveneens flink toegenomen. CVE verdeelt de lekken in categorieën qua ernst volgens het Common Vulnerability Score System (CVSS). Daarbij wordt onder meer rekening gehouden met de impact voor vertrouwelijkheid, integriteit en beschikaarheid van data en met de aanvalsvector die er op gebruikt kan worden. Inmiddels is van dit systeem de 3e versie in gebruik, waarbij er 5 niveaus zijn. Daarvan zijn ‘High’ en ‘Critical’ de meest alarmerende niveaus. Het aantal ‘critical’ lekken is vorig jaar verdubbeld tot ruim 2000 stuks.

DoS en Code Execution favoriet

Het soort lekken is niet veel anders dan in voorgaande jaren. De meeste lekken betreffen DoS (3155), gevolgd door Code Execution (3004) en Overflow (2805). De sterkste toename was voor de aloude SQL-injectie. Die kwam in 2017 vijf keer zo vaak voor als oorzaak van een lek als in 2016.

Google 'wint'

Vorig jaar werden de meeste lekken gevonden in de software van Oracle, maar die topplek is nu ingenomen door Google met ruim 1000 lekken. Dat wil niet perse zeggen dat de code van Google zo veel slechter is dan die van nummer 2 Oracle of van Microsoft (3). Google heeft wel een zeer populair bug bounty-porgramma, wat de jacht op lekken in zijn software populair heeft gemaakt. IBM is 4e als het om lekken gaat, gevolgd door Apple. Zeer gunstig waren de resultaten dit jaar voor Adobe. Dat zakte in deze ranglijst van de 3e naar de 9e plaats.