Critici beschuldigen Microsoft vaak van traagheid als het aankomt op het uitbrengen van patches voor kritieke beveiligingsgaten. Apple zou het veel beter doen. Een Zwitsers onderzoek wijst nu het tegendeel uit.
Microsoft brengt patches voor kritieke beveiligingsgaten in zijn besturingssysteem sneller uit dan Apple. Dit blijkt uit onderzoek naar patchen (PDF) door het Zwitserse Federale Instituut voor Technologie. Onderzoekers van die instantie hebben gekeken naar de tijd tussen het publiek bekend worden van zwakke plekken en het verschijnen van een patch daarvoor.
Hierbij is voor de afgelopen zes jaar gekeken naar zogeheten zero-day beveiligingsgaten in Windows en Mac OS X. Zero-day gaten zijn zwakke plekken waarvoor al direct malware ‘beschikbaar is’, dus rondwaart op internet. Voor Microsoft zijn 658 zwakke plekken meegenomen in het onderzoek, en voor Apple 738 stuks. Onderzoeker Stefan Frei zegt ook verbaasd te zijn over de uitkomst, die tegengesteld is aan de reputatie zowel Microsoft als Apple. "Toch is het aantal niet-gedichte gaten hoger bij Apple." De Mac-maker laat zich graag voorstaan op zijn veilige systeem en maakt daar juist reclame mee.
Minder alert
De onderzoekers merken op dat de Mac-maker tot 2005 telkens minder dan twintig openstaande gaten had, op het moment dat die publiekelijk bekend werden. Sindsdien zit Apple daar geregeld boven, meldt Frei. Hij beredeneert dat Apple aanvankelijk waarschijnlijk minder kritieke – en vooral zero-day – gaten had, en daardoor mogelijk minder alert was in het tijdig ontwikkelen en uitbrengen van patches.
Uit het onderzoek blijkt ook dat zowel Microsoft als Apple minder goed zijn met tijdig patchen in de zes maanden vóór het uitbrengen van een nieuwe versie van hun besturingssysteem of een service pack (SP) daarvoor. De interne ontwikkelaars zijn dan kennelijk druk bezig met de nieuwe versie en niet met het onderhouden van de huidige.
Overigens heeft het Zwitserse onderzoeksinstituut een samenwerking met Microsoft voor de verbetering van software voor ingebedde systemen. Die samenwerking is begin maart dit jaar opgezet en heeft een looptijd van vijf jaar. Dit draait om efficiëntere ingebedde software, niet per se om betere beveiliging voor dat type software.
