Deine beiden Statistiken haben nur eben gar keinen Zusammenhang. Die Installationsbasis von Linux sind nicht 1.6% der Desktoprechner. Es sind zusätzlich 50% der Server und 100% WLAN-Router und andere Netzwerk-Appliances, über 1 Mia Geräte mit Android (80% des Mobiltelefon- und Tabletmarktes) etc pp...
An dieser Stelle auch noch ein Wort zur Reichweitenmessung bei Desktopsystemen: Wer Linux auf dem Desktop installiert, dürfte zumeist eine Grundahnung von Computern haben und installiert sich Linux meist aus guten Gründen. Entsprechend kennt oder sucht man auch Möglichkeiten, die Gesprächigkeit seines Systems zu senken. Ich denke nicht, dass netmarketshare jemals einen Hit von einem meiner Rechner bekommen hat. Entsprechend dürfte der Marktanteil von Linux leicht höher sein.
Die Installationsbasis von Windows ist übrigens auch grösser als gedacht, neben Desktops macht es 40% der Server aus und hat eine gute Verbreitung bei POS (Kassensysteme, Bankomaten, usw).
Dagegen ist Apple mit einen paar Macs und iDevices ein richtig kleiner Nischenplayer.
Wenn man nun diesen Verbreitungszahlen die Anzahl Sicherheitslücken entgegenhält, wirkt die häufige Aussage "aber wenn Linux (impliziert: auf dem Desktop) verbreitet wäre, dann würde man ganz anders grosse Mengen Löcher finden" einfach nur noch kindisch. Die Installationsbasis von Linux dürfte grösser sein, als sich Windows je träumen mag und das in kritischen Systemen, wo entsprechend grosse Anreize herrschen, nach Löchern zu suchen.. Dass auf die paar Apple-Geräte dann so viele Lücken gefunden werden, ist schlicht nur noch erschreckend.
Ein weiterer Punkt ist die Dauer, bis eine Lücke geschlossen wird. Im Linux-Kernel geht's relativ zügig, bis ein Fix zur Verfügung steht und auch die grossen Distributoren nachgezogen haben. Entsprechend sind Desktops und Server relativ rasch abgesichert.
Embedded-Geräte sind reine Glückssache, die sind meist buy-and-forget, da haben die Hersteller wenig Interesse, die Lücken zu flicken. Bei Android gibt es ähnliche strukturelle Probleme. Upstream sind die Lücken zwar schnell weg, aber bis die Hersteller die Updates endlich nachschieben, dauert es. Wenn sie es denn jemals tun. Das ist aber nicht Linux selbst anzulasten, sondern dafür müssen einzig die unfähigen Hersteller verantwortlich gemacht werden. Würden all diese Geräte unter Windows laufen, würde es wohl auch nicht anders ablaufen. Wer jetzt meint, dass Microsoft bewiesen hat, dass sie die Updates bei Windows Phone im Griff haben, der sollte nochmals bedenken, dass es ca 20 verschiedene Windows Phone Modelle von einem Hersteller gibt, während es im embedded und Telefonmarkt 10'000 Modelle unterschiedlichster Gerätetypen gibt. Und Microsoft hat eine etwas unrühmliche Geschichte mit vielen verschlampten und verzögerten Bugfixes für Löcher, die Monate im Voraus gemeldet wurden...