各款操作系統(tǒng)漏洞安全性大比拼

微軟認(rèn)為vista比Linux、Mac OS X更為安全。Windows Vista上市后前6個(gè)月僅修復(fù)12個(gè)安全漏洞，相比之下，Linux發(fā)行版似乎有些相形見(jiàn)絀了。不過(guò)有分析人士則并不同意這種觀(guān)點(diǎn)。
    Vista上市半年漏洞少？
    據(jù)微軟一份最新報(bào)告中數(shù)字顯示：相較于所有主流的enterprise Linux發(fā)行版和Mac OS X， Windows Vista 上市后前6個(gè)月所出現(xiàn)的嚴(yán)重安全漏洞最少。
    這一數(shù)字由微軟可信計(jì)算組（TCG）安全戰(zhàn)略總監(jiān)杰夫.瓊斯（Jeff Jones）提供。瓊斯6月21日在他博客上有關(guān)這份報(bào)告的貼子中寫(xiě)道： “分析結(jié)果顯示：相較于其上一版本W(wǎng)indows XP上市后前6個(gè)月的表現(xiàn)而言，Windows Vista則持續(xù)呈現(xiàn)出漏洞總數(shù)更少、高危漏洞更少的趨勢(shì)。”。
    在這份報(bào)告中，瓊斯分別羅列比較了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation（RHEL4W）、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精簡(jiǎn)組件版本、Novell SUSE Linux Enterprise Desktop 10（Novell SLED 10）、Novell SLED 10精簡(jiǎn)組件版本以及Apple Mac OS X v10.4中已發(fā)現(xiàn)的高危、中危和低危漏洞的數(shù)目。具體內(nèi)容如下：
    Vista
    ·2006年11月30日正式上市。上市后前6個(gè)月內(nèi)，微軟發(fā)布了4次大型安全公告，共處理了12個(gè)影響Windows Vista的漏洞。
    到6個(gè)月期限結(jié)束時(shí)，Vista未修復(fù)的大部分都是非高危漏洞，僅有最嚴(yán)重一個(gè)高危漏洞是該操作系統(tǒng)執(zhí)行的一個(gè)Teredo地址，它無(wú)需用戶(hù)干預(yù)就可直接連接到互聯(lián)網(wǎng)上。這一漏洞問(wèn)題是由賽門(mén)鐵克在3月討論有關(guān)微軟對(duì)用于從IPv4過(guò)渡到IPv6的專(zhuān)屬I(mǎi)P隧道協(xié)議的使用時(shí)提出的。
    據(jù)賽門(mén)鐵克發(fā)展技術(shù)總監(jiān)奧利弗.威爾遜（Oliver Friedrichs）表示，有關(guān)Teredo的問(wèn)題系指許多防火墻和入侵檢測(cè)系統(tǒng)并未能關(guān)注到Teredo?！八麄儾⒉皇煜ぴ搮f(xié)議或如何分解該協(xié)議。這意味著，當(dāng)我們?cè)谟懻撘豢罘阑饓r(shí)，Teredo可能被用來(lái)對(duì)攻擊進(jìn)行包裝或繞過(guò)防火墻進(jìn)行攻擊。”
    Windows XP
    ·2001年10月25日正式上市。上市的前3周中已披露和修復(fù)了IE中3個(gè)漏洞。因此，新用戶(hù)必須立即應(yīng)用一個(gè)IE補(bǔ)丁來(lái)解決這些問(wèn)題。
    ·上市后前6個(gè)月內(nèi)，微軟共修復(fù)了36個(gè)漏洞（包括上述3個(gè)）。其中23個(gè)在美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）中列屬高危漏洞。
    ·6個(gè)月期限結(jié)束時(shí)，有3個(gè)已公開(kāi)披露的漏洞仍未得到來(lái)自微軟的補(bǔ)丁，其中2個(gè)（CVE-2002-0189和CVE-2002-0694）被美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）列為高危漏洞。另一個(gè)則屬低危漏洞。
    瓊斯在報(bào)告中寫(xiě)道：“因此，相比上一版本產(chǎn)品，Windows Vista看起來(lái)在最初的90天表現(xiàn)更好，所發(fā)現(xiàn)的漏洞只有之前版本的1/3，且到6個(gè)月期限結(jié)束時(shí)，Windows Vista和Windows XP都僅有2個(gè)突出的高危漏洞問(wèn)題?！?BR>    RHEL4W
    RHEL4W是歡迎Linux發(fā)行版。
    ·2005年2月15日正式上市。在提供一般使用之前，出貨的組件中就有129個(gè)公開(kāi)披露的bug，其中40個(gè)屬高危漏洞。
    ·上市后的前6個(gè)月期內(nèi)，紅帽公司修復(fù)RHEL4W總計(jì)281個(gè)漏洞。其中86個(gè)已被NIST在NVD中列為“高?！?。
    RHEL4WS精簡(jiǎn)組件版本
    微軟的瓊斯承認(rèn)：有許多人認(rèn)為將Red Hat Enterprise Linux 4 WS上市時(shí)的組件和所支持的組件的漏洞都計(jì)算在內(nèi)是不公平的。由此，他決定審查了Linux distributions包含完整組件的完全版本以及精簡(jiǎn)的組件版本。為了順應(yīng)這一想法，他額外分析RHEL4WS精簡(jiǎn)組件版，即包括所有提供與Windows XP類(lèi)似功能的組件，不包括其它選用組件。
    “Linux發(fā)行版供應(yīng)商通過(guò)包含和支持許多微軟Windows操作系統(tǒng)上所沒(méi)有的相應(yīng)組件來(lái)為其工作站發(fā)行版本提供增值性功能，”他表示?！爱?dāng)對(duì)比Windows和Linux時(shí)對(duì)于將Linux發(fā)行版中’可選’應(yīng)用程序計(jì)算在內(nèi)時(shí)引發(fā)了普遍反對(duì)聲，認(rèn)為這并不公平，因此我已完成了另外級(jí)別的分析來(lái)排除Windows OS未提供的功能組件的漏洞?！?BR>    他繼續(xù)道：“您可參閱’Red Hat and Windows-Defining an Apples-to-Apples Workstation Build’來(lái)獲取更多細(xì)節(jié)，不過(guò)基本上我安裝了一臺(tái)RHEL4WS計(jì)算機(jī)，將所有非默認(rèn)安裝的組件排除在外，其中包括RHEL4WS提供的所有’服務(wù)器’組件。我另外還排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice) 以及開(kāi)發(fā)工具(gcc等) 安裝包。我使用rpm命令來(lái)列出所有已安裝包，并根據(jù)這安裝包列表來(lái)過(guò)濾漏洞?！?