86 procent af sikkerhedshullerne er fra alt andet end Microsoft

20. marts 2013 kl. 09:0314
Brug sikkerhedskræfterne på software, der er svær at patche - for det er her, de it-kriminelle kommer ind. Sådan lyder det fra sikkerhedsfirmaet Secunia, som har analyseret årets værste trusler.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er ikke nok at nøjes med at rulle de månedlige sikkerhedsopdateringer fra Microsoft ud, hvis man skal holde firmaets maskiner i god, sikkerhedsmæssig stand.

For den efterhånden velsmurte opdateringsrutine hos Microsoft har fået hackerne til at koncentrere sig om alt det andet software, der også befinder sig på computerne. Og faktisk ramte 86 procent af sikkerhedshullerne i de 50 mest udbredte programmer software fra andre firmaer end Microsoft.

Det skriver sikkerhedsfirmaet Secunia, som har specialiseret sig i arbejdet med sårbarheder, i et blogindlæg, på baggrund af en ny rapport om truslerne i 2012.

»Overordnet set er det rimeligt at konkludere, at den største trussel er ikke-Microsoft-programmer. (…) Problemet med denne situation er, at ikke-Microsoft-programmer er en hel del mere besværlige at patche, da man skal bruge adskillige forskellige opdateringsmekanismer,« skriver firmaet.

Artiklen fortsætter efter annoncen

Rådet til it-sikkerhedsfolk er derfor, at man koncentrerer sig om også at få en stærk opdateringsrutine for al den software, som ikke er fra Microsofts hånd. Og det er ikke nok at dække sig ind med opdateringer af kun de ti mest udbredte stykker software. Hackerne er smarte nok til at finde et hul i mindre brugt software, hvis det er nødvendigt, lyder vurderingen.

Der er også gode nyheder i rapporten fra Secunia. Hvor det i 2011 kun var 72 procent af sårbarhederne, der fandtes en patch til, da de blev offentligt kendt, var andelen i 2012 steget til 84 procent. Det skyldes efter alt at dømme et bedre samarbejde mellem sikkerhedsforskere og softwareproducenterne.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
20. marts 2013 kl. 18:13

.. men det ville være interessant at vide på hvilke platforme disse 86% så har en effekt.

6
20. marts 2013 kl. 17:53

Den nemmeste måde at opdatere al software på computer (inklusiv OS) synes jeg virker til at være "apt-get update && apt-get upgrade".

Det virker.

8
20. marts 2013 kl. 20:44

Den nemmeste måde at opdatere al software på computer (inklusiv OS) synes jeg virker til at være "apt-get update && apt-get upgrade".</p>
<p>Det virker.

Jeg har i flere omgange haft brug for "latest and greatest" release af LibreOffice på ubuntu, men hver gang har jeg måttet opgive, da "ubuntu libreoffice" ikke opdateres løbende med libreoffice selv.

Er dette fixet nu, så en apt-get vil opdatere LibreOffice for mig?

Jeg er klar over, at denne tråd er godt og vel et år gammel, men på den siger de også, at man er nødt til at vente med opgradering af fx LibreOffice til ubuntu selv opgraderes hvert halve år.

11
20. marts 2013 kl. 22:09

Kan du ikke bruge en debian-pakke?

12
20. marts 2013 kl. 22:34

Kan du ikke bruge en debian-pakke?

Måske ... det er jo Linux, så det er vel blot et spørgsmål om at finde de rigtige ninja-tricks.

Min erfaring fra tidligere forsøg er, at LibreOffice ikke kunne opgraderes via standard opgraderingsmekanismer i ubuntu til "seneste version" før ubuntu havde godkendt den.

Men er det ikke netop pointen med app repos på Linux - nemlig at de er blevet testet og er kompatible med systemet man anvender?

Eller er det blot en LibreOffice/ubuntu-ting? Hvordan forholder det sig med Java på ubuntu - skal den også gennemtestes af ubuntu før en "apt-get" henter en kritisk sikkerhedsopdatering af Java?

13
20. marts 2013 kl. 23:47

Jeg har heller ikke altid helt forstået at nogen ting, som f.eks. Libre ikke automatisk følger med up to date - men måske nogen har en logisk forklaring.

Anyways her er ninja tricket (som en eller anden egentlig burde lave som et script):

Download de tre .deb pakker fra Libre (program, help, language) og pak ud.

Fjern din gamle Libre komplet:

sudo apt-get purge libreoffice* sudo apt-get autoremove

skift til biblioteket hvor du har programfiler, skift ned i DEBS biblioteket og kør: sudo dpkg -i *.deb

når det har gnasket færdigt hopper du længere ned i desktop-integration og kører endnu en gang (husk at du kan pil'e op i bash): sudo dpkg -i *.deb

Sluttelig hopper du over i hhv help mappen/DEBS og language mappen/DEBS og endnu engang kører du:

sudo dpkg -i *.deb

et voila, du har en helt up-to-date Libre, incl. hjælp og dansk sprogpakke.

9
20. marts 2013 kl. 20:51

Forleden dag, så blev LibreOffice opdateret (Ubuntu 10.04). Opdateringen kom helt af sig selv :)

Mvh Bjørn

1
20. marts 2013 kl. 09:43

Ja det er klart, Secunia lever nemlig af at sælge software der kan patche 3. parts programmer :-)

5
20. marts 2013 kl. 15:55

Det håber jeg da :) Jeg kender godt deres produkter, og bruger dem også selv privat, og de virker (for det meste) ganske udmærke til at holde dit 3. parts software opdateret! Men det svarer jo stadigvæk til de nyheder vi får fra en antivirus producent, om det ene eller andet nye botnet de har opdaget som de tilfældigvis er de eneste der beskytter imod :)

4
20. marts 2013 kl. 15:18

Og som privat person kan man benytte en gratis version

2
20. marts 2013 kl. 12:47

Præcis! Havde samme tanke