当前位置:首页 » 业界资讯 » 软件资讯

各款操作系统漏洞安全性大比拼

...

Vista上市半年漏洞少?

据微软一份最新报告中数字显示:相较于所有主流的enterprise Linux发行版和Mac OS X, Windows Vista 上市后前6个月所出现的严重安全漏洞最少。

上市六月后各操作系统安全漏洞数量对比

上市六月后各操作系统安全高危漏洞数量对比

这一数字由微软可信计算组(TCG)安全战略总监杰夫.琼斯(Jeff Jones)提供。琼斯6月21日在他博客上有关这份报告的贴子中写道: “分析结果显示:相较于其上一版本Windows XP上市后前6个月的表现而言,Windows Vista则持续呈现出漏洞总数更少、高危漏洞更少的趋势。”。

在这份报告中,琼斯分别罗列比较了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation(RHEL4W)、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精简组件版本、Novell SUSE Linux Enterprise Desktop 10(Novell SLED 10)、Novell SLED 10精简组件版本以及Apple Mac OS X v10.4中已发现的高危、中危和低危漏洞的数目。具体内容如下:

Vista

·2006年11月30日正式上市。上市后前6个月内,微软发布了4次大型安全公告,共处理了12个影响Windows Vista的漏洞。

到6个月期限结束时,Vista未修复的大部分都是非高危漏洞,仅有最严重一个高危漏洞是该操作系统执行的一个Teredo地址,它无需用户干预就可直接连接到互联网上。这一漏洞问题是由赛门铁克在3月讨论有关微软对用于从IPv4过渡到IPv6的专属IP隧道协议的使用时提出的。

据赛门铁克发展技术总监奥利弗.威尔逊(Oliver Friedrichs)表示,有关Teredo的问题系指许多防火墙和入侵检测系统并未能关注到Teredo。“他们并不熟悉该协议或如何分解该协议。这意味着,当我们在讨论一款防火墙时,Teredo可能被用来对攻击进行包装或绕过防火墙进行攻击。”

Windows XP

·2001年10月25日正式上市。上市的前3周中已披露和修复了IE中3个漏洞。因此,新用户必须立即应用一个IE补丁来解决这些问题。

·上市后前6个月内,微软共修复了36个漏洞(包括上述3个)。其中23个在美国国家漏洞数据库(NVD)中列属高危漏洞。

·6个月期限结束时,有3个已公开披露的漏洞仍未得到来自微软的补丁,其中2个(CVE-2002-0189和CVE-2002-0694)被美国国家标准和技术研究院(NIST)列为高危漏洞。另一个则属低危漏洞。

琼斯在报告中写道:“因此,相比上一版本产品,Windows Vista看起来在最初的90天表现更好,所发现的漏洞只有之前版本的1/3,且到6个月期限结束时,Windows Vista和Windows XP都仅有2个突出的高危漏洞问题。”

RHEL4W

RHEL4W是最受欢迎Linux发行版。

·2005年2月15日正式上市。在提供一般使用之前,出货的组件中就有129个公开披露的bug,其中40个属高危漏洞。

·上市后的前6个月期内,红帽公司修复RHEL4W总计281个漏洞。其中86个已被NIST在NVD中列为“高危”。

RHEL4WS精简组件版本

微软的琼斯承认:有许多人认为将Red Hat Enterprise Linux 4 WS上市时的组件和所支持的组件的漏洞都计算在内是不公平的。由此,他决定审查了Linux distributions包含完整组件的完全版本以及精简的组件版本。为了顺应这一想法,他额外分析RHEL4WS精简组件版,即包括所有提供与Windows XP类似功能的组件,不包括其它选用组件。

“Linux发行版供应商通过包含和支持许多微软Windows操作系统上所没有的相应组件来为其工作站发行版本提供增值性功能,”他表示。“当对比Windows和Linux时对于将Linux发行版中'可选'应用程序计算在内时引发了普遍反对声,认为这并不公平,因此我已完成了另外级别的分析来排除Windows OS未提供的功能组件的漏洞。”

他继续道:“您可参阅'Red Hat and Windows-Defining an Apples-to-Apples Workstation Build'来获取更多细节,不过基本上我安装了一台RHEL4WS计算机,将所有非默认安装的组件排除在外,其中包括RHEL4WS提供的所有'服务器'组件。我另外还排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice) 以及开发工具(gcc等) 安装包。我使用rpm命令来列出所有已安装包,并根据这安装包列表来过滤漏洞。”

琼斯将这一结果称为“Gnome-Windows工作站”,它包括标准系统管理工具、Web浏览器Firefox以及音频和视频支持,不包括所有服务器包以及OpenOffice和其它Windows system未默认的选用组件。

·上市后的前6个月内,红帽公司修复了214个影响精简的RHEL4WS组件集的漏洞。其中所处理的有62个为高危漏洞。

·6个月期限结束时,在该精简组件集中仍有59个公开披露的漏洞未得到Red Hat提供的补丁,其中12个列属为高危漏洞。

琼斯表示:虽然RHEL4WS精简版的确比完整版有一个更好的6月期表现,但红帽公司客户在前6个月仍将面临大量的漏洞问题。

Ubuntu 6.06 LTS (长期支持)

·2006年6月1日正式上市。在此之前已公开披露的漏洞有29个。其中9个高危漏洞,到一周后的6月8日时有7个已进行了修复。

·上市后的前6个月,Ubuntu修复了145个影响Ubuntu 6.06 LTS的漏洞,其中47个在NVD中列属为高危漏洞。

·6个月期限结束时,在Ubuntu 6.06 LTS中至少有20个已公开披露的漏洞仍未有Ubuntu提供的相应补丁。

Ubuntu 6.06 LTS精简组件版本

·上市后的前6个月内发现的漏洞为74个,其中28个列属为高危漏洞。

·到6个月期限结束时,在精简组件版中总共有11个公开披露的漏洞仍未有来自Ubuntu的补丁,其中2个列属高危。

Novell的SLED 10 (SUSE Linux Enterprise Desktop 10)

·2006年7月17日正式上市,在其出货日期前就已公开披露了至少23个漏洞, Novell在前6个月期限内为其中20个进行了修复,其中有5个是高危漏洞。

·上市后的前6个月期内,Novell共修复了159个影响SLED 10的漏洞,其中50个在NVD中列为高危。

·6个月期限结束时,在SLED 10有至少27个公开披露的漏洞仍未得到来自从Novell的补丁,其中6个列属高危。

SLED 10中精简组件版本

·上市后的前6个月内,Novell共修复了123个影响精简版SLED10桌面组件集的漏洞。其中所处理的有44个为高危漏洞。

·6月期结束时,在精减的组件集中总共有20个公开披露过的漏洞仍未从Novell处获得补丁,其中6个列属高危漏洞。

Mac OS X v10.4

·2005年4月29日正式上市。在上市前就已公开披露了10个漏洞。苹果公司在之后前6个月期间为其中9个提供了补丁,其中3个被列为高危漏洞。

·上市后的前6个月期内,苹果公司共修复了60个影响OS X v10.4的漏洞,其中18个在NVD中被列为高危漏洞。

·6个月期结束时,Mac OS X v10.4仍有16个已公开披露的漏洞仍未到来自苹果公司的补丁,其中3个列属高危漏洞。

继续阅读
传谷歌正在开发手机操作系统
在一台电脑上安装145个操作系统
微软下一代操作系统仅占25MB空间
发表评论

昵称:
最新评论
暂时没有评论!