Veel kritieke lekken door open source in standaard apps

Vrijwel alle zakelijke standaard software bevat opensourcecomponenten en die hebben allemaal lekken. 85% daarvan bevat minstens één kritiek lek. Dat constateert Osterman Research in een rapport waarvoor rond de 40 apps zijn onderzocht.

Osterman baseert zich op onderzoek dat is gedaan met software van GrammaTech die kan zoeken naar opensourcecomponenten in de binary packaging van veelgebruikte applicaties. Toegang tot de broncode is daarbij niet nodig.

Bijna allemaal CVSS 10.0

Uit het onderzoek bleek dat gemiddeld 30% van alle opensourcomponenten minsten één lek bevatte dat bekend is en een CVE-identificatie heeft. Vrijwel alle onderzochte software, 85%, bevat bovendien een lek dat zeer kritiek is: van het niveau CVSS 10.0.

Bijna alle gevonden lekken zijn algemeen bekend. Probleem is echter dat van veel apps niet bekend is bij de gebruikers dat die opensourcecomponenten bevatten. Daardoor zijn zij ook niet gespitst op mogelijke lekken in de apps die zij aanschaffen.

Twee versies van een opensourcecomponent van Firefox met kritieke lekken werden aangetroffen bij  drie kwart van alle apps met kritieke lekken.

De categorie e-mail en meeting clients bevat de kwetsbaarste apps met gemiddeld de meeste lekken van het hoogste, kritiekste niveau.

Zoom is niet meegenomen in dit onderzoek van Osterman, maar eerder al bleek dat Zoom zeker 60 opensourcecomponenten bevat en recent een rechtszaak over privacyschending wist te schikken voor 85 miljoen dollar.