'QuickTime lucratiever voor hackers dan ActiveX'

In de jaarlijst van TippingPoint voor gemelde 0-day kwetsbaarheden komt Apple's QuickTime het vaakst voor. Ook ActiveX scoorde in 2012 hoog met nieuwe gaten.


QuickTime blijkt over 2012 de software waarin 0-day gaten het vaakst zijn gemeld bij TippingPoint. Via het Zero Day Initiative (ZDI) van dat securitybedrijf kunnen hackers melding maken van kwetsbaarheden en daarvoor een beloning krijgen.

TippingPoint (dat sinds april 2010 onderdeel is van HP) biedt zijn klanten direct bescherming tegen de aangemelde gaten en informeert de makers van de kwetsbare software. Die bedrijven kunnen vervolgens een patch of update ontwikkelen om het beveiligingsgat te dichten.

Vóór ActiveX, IE en Java

In de gepubliceerde jaarlijst staan in totaal 203 security advisories, die hackers hebben aangemeld bij het HP-onderdeel. Daarvan zijn er 19 stuks voor kwetsbaarheden in QuickTime. Microsofts browsertechnologie ActiveX volgt met een nipte achterstand van 18 meldingen.

ActiveX zit ingebouwd in Internet Explorer, dat zelf nog eens 14 keer voorkomt in de lijst. EMC's Autostart en Oracle's Java volgen met respectievelijk 13 en 12 advisories.

De kwaliteit van de meldingen is in 2012 gestegen, schrijft TippingPoint in zijn jaaroverzicht. Ook zijn er in 2012 weer meer beveiligingsonderzoekers bijgekomen. Dat heeft tegen het einde van vorig jaar nog een 'eindspurt' opgeleverd: met name in november en december stroomden de meldingen binnen.

Hoge beloningen

Uiteindelijk heeft TippingPoint zelf een recordaantal van 20 advisories uitgevaardigd voor gaten die echt als 0-day gelden. Dat zijn kwetsbaarheden waarvoor dus nog geheel geen patches of updates bestaan. Microsoft komt als leverancier het vaakst voor in de jaarlijst. Hackers verdienden in totaal meer dan 100 keer aan de softwaremaker.

Onderzoekstak DVLabs van HP's TippingPoint keurt de kwetsbaarheden die via het Zero Day Initiative binnenkomen. De beloningen daarvoor kunnen oplopen tot 25.000 dollar. Naast contanten zijn ook geheel verzorgde reizen naar hackersconferentie DEFCON te verdienen. TippingPoint biedt zijn klanten bescherming via Intrusion Prevention Systems (IPS).