各款操作系統(tǒng)漏洞安全性大比拼

字號:

微軟認(rèn)為vista比Linux、Mac OS X更為安全。Windows Vista上市后前6個月僅修復(fù)12個安全漏洞,相比之下,Linux發(fā)行版似乎有些相形見絀了。不過有分析人士則并不同意這種觀點。
    Vista上市半年漏洞少?
    據(jù)微軟一份最新報告中數(shù)字顯示:相較于所有主流的enterprise Linux發(fā)行版和Mac OS X, Windows Vista 上市后前6個月所出現(xiàn)的嚴(yán)重安全漏洞最少。
    這一數(shù)字由微軟可信計算組(TCG)安全戰(zhàn)略總監(jiān)杰夫.瓊斯(Jeff Jones)提供。瓊斯6月21日在他博客上有關(guān)這份報告的貼子中寫道: “分析結(jié)果顯示:相較于其上一版本W(wǎng)indows XP上市后前6個月的表現(xiàn)而言,Windows Vista則持續(xù)呈現(xiàn)出漏洞總數(shù)更少、高危漏洞更少的趨勢?!?。
    在這份報告中,瓊斯分別羅列比較了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation(RHEL4W)、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精簡組件版本、Novell SUSE Linux Enterprise Desktop 10(Novell SLED 10)、Novell SLED 10精簡組件版本以及Apple Mac OS X v10.4中已發(fā)現(xiàn)的高危、中危和低危漏洞的數(shù)目。具體內(nèi)容如下:
    Vista
    ·2006年11月30日正式上市。上市后前6個月內(nèi),微軟發(fā)布了4次大型安全公告,共處理了12個影響Windows Vista的漏洞。
    到6個月期限結(jié)束時,Vista未修復(fù)的大部分都是非高危漏洞,僅有最嚴(yán)重一個高危漏洞是該操作系統(tǒng)執(zhí)行的一個Teredo地址,它無需用戶干預(yù)就可直接連接到互聯(lián)網(wǎng)上。這一漏洞問題是由賽門鐵克在3月討論有關(guān)微軟對用于從IPv4過渡到IPv6的專屬IP隧道協(xié)議的使用時提出的。
    據(jù)賽門鐵克發(fā)展技術(shù)總監(jiān)奧利弗.威爾遜(Oliver Friedrichs)表示,有關(guān)Teredo的問題系指許多防火墻和入侵檢測系統(tǒng)并未能關(guān)注到Teredo?!八麄儾⒉皇煜ぴ搮f(xié)議或如何分解該協(xié)議。這意味著,當(dāng)我們在討論一款防火墻時,Teredo可能被用來對攻擊進行包裝或繞過防火墻進行攻擊。”
    Windows XP
    ·2001年10月25日正式上市。上市的前3周中已披露和修復(fù)了IE中3個漏洞。因此,新用戶必須立即應(yīng)用一個IE補丁來解決這些問題。
    ·上市后前6個月內(nèi),微軟共修復(fù)了36個漏洞(包括上述3個)。其中23個在美國國家漏洞數(shù)據(jù)庫(NVD)中列屬高危漏洞。
    ·6個月期限結(jié)束時,有3個已公開披露的漏洞仍未得到來自微軟的補丁,其中2個(CVE-2002-0189和CVE-2002-0694)被美國國家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)列為高危漏洞。另一個則屬低危漏洞。
    瓊斯在報告中寫道:“因此,相比上一版本產(chǎn)品,Windows Vista看起來在最初的90天表現(xiàn)更好,所發(fā)現(xiàn)的漏洞只有之前版本的1/3,且到6個月期限結(jié)束時,Windows Vista和Windows XP都僅有2個突出的高危漏洞問題。”
    RHEL4W
    RHEL4W是歡迎Linux發(fā)行版。
    ·2005年2月15日正式上市。在提供一般使用之前,出貨的組件中就有129個公開披露的bug,其中40個屬高危漏洞。
    ·上市后的前6個月期內(nèi),紅帽公司修復(fù)RHEL4W總計281個漏洞。其中86個已被NIST在NVD中列為“高?!薄?BR>    RHEL4WS精簡組件版本
    微軟的瓊斯承認(rèn):有許多人認(rèn)為將Red Hat Enterprise Linux 4 WS上市時的組件和所支持的組件的漏洞都計算在內(nèi)是不公平的。由此,他決定審查了Linux distributions包含完整組件的完全版本以及精簡的組件版本。為了順應(yīng)這一想法,他額外分析RHEL4WS精簡組件版,即包括所有提供與Windows XP類似功能的組件,不包括其它選用組件。
    “Linux發(fā)行版供應(yīng)商通過包含和支持許多微軟Windows操作系統(tǒng)上所沒有的相應(yīng)組件來為其工作站發(fā)行版本提供增值性功能,”他表示。“當(dāng)對比Windows和Linux時對于將Linux發(fā)行版中’可選’應(yīng)用程序計算在內(nèi)時引發(fā)了普遍反對聲,認(rèn)為這并不公平,因此我已完成了另外級別的分析來排除Windows OS未提供的功能組件的漏洞?!?BR>    他繼續(xù)道:“您可參閱’Red Hat and Windows-Defining an Apples-to-Apples Workstation Build’來獲取更多細(xì)節(jié),不過基本上我安裝了一臺RHEL4WS計算機,將所有非默認(rèn)安裝的組件排除在外,其中包括RHEL4WS提供的所有’服務(wù)器’組件。我另外還排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice) 以及開發(fā)工具(gcc等) 安裝包。我使用rpm命令來列出所有已安裝包,并根據(jù)這安裝包列表來過濾漏洞?!?