各款操作系統(tǒng)漏洞安全性大比拼

1、各款操作系統(tǒng)漏洞安全性大比拼Vista上市半年漏洞少？ 據(jù)微軟一份最新報(bào)告中數(shù)字顯示：相較于所有主流的enterprise Linux發(fā)行版和Mac OS X， Windows Vista 上市后前6個(gè)月所出現(xiàn)的嚴(yán)重安全漏洞最少。 上市六月后各操作系統(tǒng)安全漏洞數(shù)量對(duì)比 上市六月后各操作系統(tǒng)安全高危漏洞數(shù)量對(duì)比 這一數(shù)字由微軟可信計(jì)算組（TCG）安全戰(zhàn)略總監(jiān)杰夫.瓊斯（Jeff Jones）提供。瓊斯6月21日在他博客上有關(guān)這份報(bào)告的貼子中寫(xiě)道： “分析結(jié)果顯示：相較于其上一版本W(wǎng)indows XP上市后前6個(gè)月的表現(xiàn)而言，Windows Vista則持續(xù)呈現(xiàn)出漏洞總數(shù)更少、高危漏洞更少的趨勢(shì)。

2、”。 在這份報(bào)告中，瓊斯分別羅列比較了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation（RHEL4W）、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精簡(jiǎn)組件版本、Novell SUSE Linux Enterprise Desktop 10（Novell SLED 10）、Novell SLED 10精簡(jiǎn)組件版本以及Apple Mac OS X v10.4中已發(fā)現(xiàn)的高危、中危和低危漏洞的數(shù)目。具體內(nèi)容如下： Vista ·2006年11月30日正式上市。上市后前6個(gè)月內(nèi)，微軟發(fā)布了4次大型安

3、全公告，共處理了12個(gè)影響Windows Vista的漏洞。 到6個(gè)月期限結(jié)束時(shí)，Vista未修復(fù)的大部分都是非高危漏洞，僅有最嚴(yán)重一個(gè)高危漏洞是該操作系統(tǒng)執(zhí)行的一個(gè)Teredo地址，它無(wú)需用戶(hù)干預(yù)就可直接連接到互聯(lián)網(wǎng)上。這一漏洞問(wèn)題是由賽門(mén)鐵克在3月討論有關(guān)微軟對(duì)用于從IPv4過(guò)渡到IPv6的專(zhuān)屬I(mǎi)P隧道協(xié)議的使用時(shí)提出的。 據(jù)賽門(mén)鐵克發(fā)展技術(shù)總監(jiān)奧利弗.威爾遜（Oliver Friedrichs）表示，有關(guān)Teredo的問(wèn)題系指許多防火墻和入侵檢測(cè)系統(tǒng)并未能關(guān)注到Teredo。“他們并不熟悉該協(xié)議或如何分解該協(xié)議。這意味著，當(dāng)我們?cè)谟懻撘豢罘阑饓r(shí)，Teredo可能被用來(lái)對(duì)攻擊進(jìn)行包裝或繞

4、過(guò)防火墻進(jìn)行攻擊。” Windows XP ·2001年10月25日正式上市。上市的前3周中已披露和修復(fù)了IE中3個(gè)漏洞。因此，新用戶(hù)必須立即應(yīng)用一個(gè)IE補(bǔ)丁來(lái)解決這些問(wèn)題。 ·上市后前6個(gè)月內(nèi)，微軟共修復(fù)了36個(gè)漏洞（包括上述3個(gè)）。其中23個(gè)在美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）中列屬高危漏洞。 ·6個(gè)月期限結(jié)束時(shí)，有3個(gè)已公開(kāi)披露的漏洞仍未得到來(lái)自微軟的補(bǔ)丁，其中2個(gè)（CVE-2002-0189和CVE-2002-0694）被美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）列為高危漏洞。另一個(gè)則屬低危漏洞。 瓊斯在報(bào)告中寫(xiě)道：“因此，相比上一版本產(chǎn)品，Windows Vista

5、看起來(lái)在最初的90天表現(xiàn)更好，所發(fā)現(xiàn)的漏洞只有之前版本的1/3，且到6個(gè)月期限結(jié)束時(shí)，Windows Vista和Windows XP都僅有2個(gè)突出的高危漏洞問(wèn)題?！?RHEL4W RHEL4W是最受歡迎Linux發(fā)行版。 ·2005年2月15日正式上市。在提供一般使用之前，出貨的組件中就有129個(gè)公開(kāi)披露的bug，其中40個(gè)屬高危漏洞。 ·上市后的前6個(gè)月期內(nèi)，紅帽公司修復(fù)RHEL4W總計(jì)281個(gè)漏洞。其中86個(gè)已被NIST在NVD中列為“高?！薄?RHEL4WS精簡(jiǎn)組件版本 微軟的瓊斯承認(rèn)：有許多人認(rèn)為將Red Hat Enterprise Linux 4 WS上市時(shí)的

6、組件和所支持的組件的漏洞都計(jì)算在內(nèi)是不公平的。由此，他決定審查了Linux distributions包含完整組件的完全版本以及精簡(jiǎn)的組件版本。為了順應(yīng)這一想法，他額外分析RHEL4WS精簡(jiǎn)組件版，即包括所有提供與Windows XP類(lèi)似功能的組件，不包括其它選用組件。 “Linux發(fā)行版供應(yīng)商通過(guò)包含和支持許多微軟Windows操作系統(tǒng)上所沒(méi)有的相應(yīng)組件來(lái)為其工作站發(fā)行版本提供增值性功能，”他表示?！爱?dāng)對(duì)比Windows和Linux時(shí)對(duì)于將Linux發(fā)行版中'可選'應(yīng)用程序計(jì)算在內(nèi)時(shí)引發(fā)了普遍反對(duì)聲，認(rèn)為這并不公平，因此我已完成了另外級(jí)別的分析來(lái)排除Windows OS未提供

7、的功能組件的漏洞?！?他繼續(xù)道：“您可參閱'Red Hat and Windows-Defining an Apples-to-Apples Workstation Build'來(lái)獲取更多細(xì)節(jié)，不過(guò)基本上我安裝了一臺(tái)RHEL4WS計(jì)算機(jī)，將所有非默認(rèn)安裝的組件排除在外，其中包括RHEL4WS提供的所有'服務(wù)器'組件。我另外還排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice) 以及開(kāi)發(fā)工具(gcc等) 安裝包。我使用rpm命令來(lái)列出所有已安裝包，并根據(jù)這安裝包列表來(lái)過(guò)濾漏洞。” 瓊斯將這一結(jié)果稱(chēng)為“

8、Gnome-Windows工作站”，它包括標(biāo)準(zhǔn)系統(tǒng)管理工具、Web瀏覽器Firefox以及音頻和視頻支持，不包括所有服務(wù)器包以及OpenOffice和其它Windows system未默認(rèn)的選用組件。 ·上市后的前6個(gè)月內(nèi)，紅帽公司修復(fù)了214個(gè)影響精簡(jiǎn)的RHEL4WS組件集的漏洞。其中所處理的有62個(gè)為高危漏洞。 ·6個(gè)月期限結(jié)束時(shí)，在該精簡(jiǎn)組件集中仍有59個(gè)公開(kāi)披露的漏洞未得到Red Hat提供的補(bǔ)丁，其中12個(gè)列屬為高危漏洞。 瓊斯表示：雖然RHEL4WS精簡(jiǎn)版的確比完整版有一個(gè)更好的6月期表現(xiàn)，但紅帽公司客戶(hù)在前6個(gè)月仍將面臨大量的漏洞問(wèn)題。 Ubuntu 6.06

9、 LTS (長(zhǎng)期支持) ·2006年6月1日正式上市。在此之前已公開(kāi)披露的漏洞有29個(gè)。其中9個(gè)高危漏洞，到一周后的6月8日時(shí)有7個(gè)已進(jìn)行了修復(fù)。 ·上市后的前6個(gè)月，Ubuntu修復(fù)了145個(gè)影響Ubuntu 6.06 LTS的漏洞，其中47個(gè)在NVD中列屬為高危漏洞。 ·6個(gè)月期限結(jié)束時(shí)，在Ubuntu 6.06 LTS中至少有20個(gè)已公開(kāi)披露的漏洞仍未有Ubuntu提供的相應(yīng)補(bǔ)丁。 Ubuntu 6.06 LTS精簡(jiǎn)組件版本 ·上市后的前6個(gè)月內(nèi)發(fā)現(xiàn)的漏洞為74個(gè)，其中28個(gè)列屬為高危漏洞。 ·到6個(gè)月期限結(jié)束時(shí)，在精簡(jiǎn)組件版中總共有11

10、個(gè)公開(kāi)披露的漏洞仍未有來(lái)自Ubuntu的補(bǔ)丁，其中2個(gè)列屬高危。 Novell的SLED 10 (SUSE Linux Enterprise Desktop 10) ·2006年7月17日正式上市，在其出貨日期前就已公開(kāi)披露了至少23個(gè)漏洞， Novell在前6個(gè)月期限內(nèi)為其中20個(gè)進(jìn)行了修復(fù)，其中有5個(gè)是高危漏洞。 ·上市后的前6個(gè)月期內(nèi)，Novell共修復(fù)了159個(gè)影響SLED 10的漏洞，其中50個(gè)在NVD中列為高危。 ·6個(gè)月期限結(jié)束時(shí)，在SLED 10有至少27個(gè)公開(kāi)披露的漏洞仍未得到來(lái)自從Novell的補(bǔ)丁，其中6個(gè)列屬高危。 SLED 10中精簡(jiǎn)組件

11、版本 ·上市后的前6個(gè)月內(nèi)，Novell共修復(fù)了123個(gè)影響精簡(jiǎn)版SLED10桌面組件集的漏洞。其中所處理的有44個(gè)為高危漏洞。 ·6月期結(jié)束時(shí)，在精減的組件集中總共有20個(gè)公開(kāi)披露過(guò)的漏洞仍未從Novell處獲得補(bǔ)丁，其中6個(gè)列屬高危漏洞。 Mac OS X v10.4 ·2005年4月29日正式上市。在上市前就已公開(kāi)披露了10個(gè)漏洞。蘋(píng)果公司在之后前6個(gè)月期間為其中9個(gè)提供了補(bǔ)丁，其中3個(gè)被列為高危漏洞。 ·上市后的前6個(gè)月期內(nèi)，蘋(píng)果公司共修復(fù)了60個(gè)影響OS X v10.4的漏洞，其中18個(gè)在NVD中被列為高危漏洞。 ·6個(gè)月期結(jié)束時(shí)，M

12、ac OS X v10.4仍有16個(gè)已公開(kāi)披露的漏洞仍未到來(lái)自蘋(píng)果公司的補(bǔ)丁，其中3個(gè)列屬高危漏洞。 微軟評(píng)測(cè)操作系統(tǒng)安全性引發(fā)爭(zhēng)議 據(jù)瓊斯提供的漏洞數(shù)字看來(lái)，vista確實(shí)十分安全。但是很多人提出了不同看法，主要有以下三種說(shuō)法是： 一，有分析人士和微軟觀察員表示，計(jì)算漏洞數(shù)并不是最佳衡量標(biāo)準(zhǔn)。 "我覺(jué)的用漏洞數(shù)量來(lái)衡量系統(tǒng)安全性是不妥當(dāng)?shù)模?quot;專(zhuān)門(mén)研究微軟公司的研究機(jī)構(gòu)Directions on Microsoft公司分析師邁克爾.徹里（Michael Cherry）表示。"如果我們總是不斷糾纏于漏洞數(shù)目，我們幾乎等于是變相地施壓力于他們來(lái)偽造這一數(shù)字，不報(bào)告系統(tǒng)

13、漏洞情況。我希望我們能有一個(gè)比漏洞數(shù)量更好的衡量標(biāo)準(zhǔn)。" 邁克爾.徹里指出：不管怎么說(shuō)，漏洞數(shù)量的計(jì)算多少帶有些主觀性。"讓我們假設(shè)您正在對(duì)一個(gè)代碼模塊進(jìn)行操作。您進(jìn)入這個(gè)模塊來(lái)修復(fù)A問(wèn)題，但當(dāng)您修復(fù)A問(wèn)題的同時(shí)您發(fā)現(xiàn)了B問(wèn)題。那么這種情況下您是算做一個(gè)問(wèn)題還是兩個(gè)？我可以拿些案例來(lái)說(shuō)明這兩種算法都是可能的"。 二是，Vista發(fā)布時(shí)間不長(zhǎng)，人們對(duì)它的了解還不夠深入。 Microsoft Watch編輯喬.威爾科克斯（Joe Wilcox）表示：操作系統(tǒng)衛(wèi)士中可能針對(duì)Linux發(fā)行版和Mac OS X的更多些。而越多的衛(wèi)士，當(dāng)然檢查出來(lái)的問(wèn)題也就更多了。 邁克爾.

14、徹里表示：從一份6個(gè)月安全評(píng)估中是難以看出一種趨勢(shì)的。多數(shù)操作系統(tǒng)都有10年生命周期，且到目前為止Vista的部署還十分有限。 三，漏洞數(shù)目可能與實(shí)際不符。 安全博客賴(lài)安.納瑞恩（Ryan Naraine）在6月20日在他的博客中寫(xiě)道：微軟一直在暗地里修復(fù)在其公告上漏洞。他認(rèn)為這是一種極具爭(zhēng)議性做法，它很大地減少公開(kāi)記錄在案的bug數(shù)目并影響到補(bǔ)丁管理以及部署決策。" 不過(guò)，Directions on Microsoft公司的徹里對(duì)此并不認(rèn)同："我不理解這有什么可意外的。微軟不斷發(fā)現(xiàn)代碼中問(wèn)題，并不斷地加以修復(fù)。假如沒(méi)有人報(bào)告過(guò)這一問(wèn)題，由此我并未看出有什么損害，為什么他們

15、必須告訴人們漏洞所在。而當(dāng)他們被加入到補(bǔ)丁包時(shí)，就等于告訴了我們漏洞情況。補(bǔ)丁包中有一份它所修復(fù)的補(bǔ)丁列表。這其中總會(huì)存在一些您從未聽(tīng)過(guò)的部分。 vista是否更安全 難下結(jié)論 正如瓊斯在報(bào)告中提及的："Windows XP未受益于SDL （安全開(kāi)發(fā)生命周期）開(kāi)發(fā)流程，且其它與之競(jìng)爭(zhēng)的工作臺(tái)操作系統(tǒng)也未受益于一種類(lèi)似SDL流程。"所以，不容忽視的是Vista客戶(hù)端是首個(gè)通過(guò)微軟安全開(kāi)發(fā)生命周期流程開(kāi)發(fā)出來(lái)的產(chǎn)品，有著微軟至為驕傲的安全性能。SDL流程包括每個(gè)新功能威脅模式的建立以及通過(guò)外部安全研究人員進(jìn)行的審查。 "對(duì)于Windows Vista，從一開(kāi)始我們每每

16、提及它的任何一個(gè)新功能，都先從威脅模式著手，"威爾遜表示。"每個(gè)功能都必須有相應(yīng)的一個(gè)威脅模式。當(dāng)進(jìn)行開(kāi)發(fā)時(shí)您必須知道，如果發(fā)現(xiàn)一個(gè)不法分子正攻擊一個(gè)功能，您必須做的事情是？評(píng)估威脅模式。它在Vista中是嶄新的一個(gè)開(kāi)始環(huán)節(jié)。" 威爾遜指出：2006年，微軟還雇傭了大量的第三方安全研究人員加入到他們總部工作。這些人被賦予了源代碼的訪問(wèn)權(quán)，任務(wù)是要深入挖掘出所有漏洞。在2006年7月的黑帽安全大會(huì)上，其中許多人陸續(xù)提呈他們的發(fā)現(xiàn)成果，而且微軟還為與會(huì)者提供了一個(gè)Vista beta副本，邀請(qǐng)他們加入到"找漏洞"行列中來(lái)。"我們認(rèn)為這次很大不同點(diǎn)在于，"威爾遜表示。"微軟集中從一個(gè)端到端工程立場(chǎng)出發(fā)正確對(duì)待這款產(chǎn)品，并且使用第三方研究人員來(lái)找出該產(chǎn)品問(wèn)題。" 如何根據(jù)功能的威脅模式反應(yīng)來(lái)對(duì)功能進(jìn)行改動(dòng)？UAC（用戶(hù)賬戶(hù)控制）功能就是其中很好的一個(gè)例子。微軟通過(guò)假設(shè)以下一種場(chǎng)景加以說(shuō)明：如果用戶(hù)正以一個(gè)標(biāo)準(zhǔn)用戶(hù)身份在運(yùn)行系統(tǒng)且想在采取一個(gè)管理行動(dòng)，他（她）將需提升權(quán)限來(lái)作為一個(gè)管理員才能繼續(xù)進(jìn)行操作。威脅模式定位這個(gè)問(wèn)題之