Vulnérabilités : Apple en divulgue plus que Microsoft

L'équipe X-Force d'IBM Internet Security Systems a récemment publié son rapport statistique sur la sécurité informatique, faisant son traditionnel bilan comptable des vulnérabilités divulguées. Un bilan semestriel pour 2008 qui dénote une tendance à la hausse après un petit tassement en 2007, avec 3 534 vulnérabilités analysées et documentées par X-Force. Par rapport au premier semestre 2007, c'est une augmentation de 5 % mais surtout, les vulnérabilités au degré de dangerosité dit élevé, à savoir qu'elles permettent une exploitation immédiate et relativement simple, prennent une part plus importante du total des failles à 22,1 %.


Plus de vulnérabilités divulguées pour Apple
Sur ces 3 534 vulnérabilités divulguées, 19 % sont imputables à 10 " vendeurs ",  et la petite surprise vient du fait que contrairement aux années précédentes, ce n'est pas Microsoft qui occupe la tête de ce classement mais Apple. Ainsi la part de firme à la pomme est estimée à 3,2 %, devant Joomla! à 2,7 % et Microsoft à 2,3 %. Suivent IBM, Oracle, Sun et Cisco qui sont presque des institutionnels de ce classement, puis Drupal, WordPress et enfin Linux (1 %) pour clore ce Top 10.

C'est la première fois que ce Top prend en compte des CPE (Common Platform Enumeration) avec les systèmes de gestion de contenu écrits en PHP Joomla!, Dupral et le plus connu WordPress dans le domaine des blogs. Ces systèmes ont " mérité " leur place eu égard à une recrudescence des vulnérabilités Web avec à déplorer de nombreuses attaques par injection SQL ou encore XSS (cross-site scripting). X-Force souligne ainsi que de 2006 à 2008 (toujours premier semestre), les vulnérabilités affectant les serveurs d'applications Web ont représenté 51 % de toutes les vulnérabilités divulguées.

Si Apple a pris la tête pour le nombre de vulnérabilités, Microsoft l'a par contre conservée pour le nombre d'exploits publics, ce qui est finalement plus embêtant pour la firme de Redmond. Toutefois, Apple monte aussi en grade et avec HP, le trio est confronté à 50 % des exploits publics du Top 10.


FF et IE au même niveau mais...
Pour le cas des navigateurs Web, Internet Explorer et Firefox sont presque à égalité avec pour le premier semestre 2008, 6 vulnérabilités de corruption de mémoire critiques chacun. Pour le fureteur de Mozilla, le total est toutefois porté à 8, toujours pour des vulnérabilités critiques. La tendance est au mieux par rapport à 2007, même si pour le cas d'Internet Explorer, X-Force souligne 73 vulnérabilités ActiveX : " Alors que Internet Explorer continue d'améliorer sa sécurité, les ActiveX de tierces parties constituent un gros risque ".