各款操作系統漏洞安全性大比拼

　　微軟認為vista比Linux、Mac OS X更為安全。Windows Vista上市後前6個月僅修復12個安全漏洞，相比之下，Linux發行版似乎有些相形見绌了。不過有分析人士則並不同意這種觀點。 Vista上市半年漏洞少？ 　　據微軟一份最新報告中數字顯示：相較於所有主流的enterprise Linux發行版和Mac OS X， Windows Vista 上市後前6個月所出現的嚴重安全漏洞最少。 ·Windows XP系統漏洞·Windows 2000系統漏洞·各大主流操作系統漏洞大比拼·決不做“肉雞”──從零開始自檢系統漏·微軟發布7項補丁彌補11個操作系統漏洞·簡述檢查系統漏洞的常見方法·關於WIN98 PWS的系統漏洞和防范措施·哪裡都不安全 系統漏洞的“多元化發展·WindowsXP系統漏洞·系統漏洞網上查 　　上市六月後各操作系統安全漏洞數量對比 　　上市六月後各操作系統安全高危漏洞數量對比 　　這一數字由微軟可信計算組（TCG）安全戰略總監傑夫.瓊斯（Jeff Jones）提供。瓊斯6月21日在他博客上有關這份報告的貼子中寫道： “分析結果顯示：相較於其上一版本Windows XP上市後前6個月的表現而言，Windows Vista則持續呈現出漏洞總數更少、高危漏洞更少的趨勢。”。
·Windows XP系統漏洞·Windows 2000系統漏洞·各大主流操作系統漏洞大比拼·決不做“肉雞”──從零開始自檢系統漏·微軟發布7項補丁彌補11個操作系統漏洞·簡述檢查系統漏洞的常見方法·關於WIN98 PWS的系統漏洞和防范措施·哪裡都不安全 系統漏洞的“多元化發展·WindowsXP系統漏洞·系統漏洞網上查 　　在這份報告中，瓊斯分別羅列比較了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation（RHEL4W）、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精簡組件版本、Novell SUSE Linux Enterprise Desktop 10（Novell SLED 10）、Novell SLED 10精簡組件版本以及Apple Mac OS X v10.4中已發現的高危、中危和低危漏洞的數目。具體內容如下： 　　Vista 　　·2006年11月30日正式上市。上市後前6個月內，微軟發布了4次大型安全公告，共處理了12個影響Windows Vista的漏洞。 　　到6個月期限結束時，Vista未修復的大部分都是非高危漏洞，僅有最嚴重一個高危漏洞是該操作系統執行的一個Teredo地址，它無需用戶干預就可直接連接到互聯網上。這一漏洞問題是由賽門鐵克在3月討論有關微軟對用於從IPv4過渡到IPv6的專屬IP隧道協議的使用時提出的。 　　據賽門鐵克發展技術總監奧利弗.威爾遜（Oliver Friedrichs）表示，有關Teredo的問題系指許多防火牆和入侵檢測系統並未能關注到Teredo。“他們並不熟悉該協議或如何分解該協議。這意味著，當我們在討論一款防火牆時，Teredo可能被用來對攻擊進行包裝或繞過防火牆進行攻擊。” 　　Windows XP 　　·2001年10月25日正式上市。上市的前3周中已披露和修復了IE中3個漏洞。因此，新用戶必須立即應用一個IE補丁來解決這些問題。 　　·上市後前6個月內，微軟共修復了36個漏洞（包括上述3個）。其中23個在美國國家漏洞數據庫（NVD）中列屬高危漏洞。 　　·6個月期限結束時，有3個已公開披露的漏洞仍未得到來自微軟的補丁，其中2個（CVE-2002-0189和CVE-2002-0694）被美國國家標准和技術研究院（NIST）列為高危漏洞。另一個則屬低危漏洞。 　　瓊斯在報告中寫道：“因此，相比上一版本產品，Windows Vista看起來在最初的90天表現更好，所發現的漏洞只有之前版本的1/3，且到6個月期限結束時，Windows Vista和Windows XP都僅有2個突出的高危漏洞問題。” 　　RHEL4W 　　RHEL4W是最受歡迎Linux發行版。 　　·2005年2月15日正式上市。在提供一般使用之前，出貨的組件中就有129個公開披露的bug，其中40個屬高危漏洞。 　　·上市後的前6個月期內，紅帽公司修復RHEL4W總計281個漏洞。其中86個已被NIST在NVD中列為“高危”。 　　RHEL4WS精簡組件版本 微軟的瓊斯承認：有許多人認為將Red Hat Enterprise Linux 4 WS上市時的組件和所支持的組件的漏洞都計算在內是不公平的。由此，他決定審查了Linux distributions包含完整組件的完全版本以及精簡的組件版本。為了順應這一想法，他額外分析RHEL4WS精簡組件版，即包括所有提供與Windows XP類似功能的組件，不包括其它選用組件。 　　“Linux發行版供應商通過包含和支持許多微軟Windows操作系統上所沒有的相應組件來為其工作站發行版本提供增值性功能，”他表示。“當對比Windows和Linux時對於將Linux發行版中'可選'應用程序計算在內時引發了普遍反對聲，認為這並不公平，因此我已完成了另外級別的分析來排除Windows OS未提供的功能組件的漏洞。” 　　他繼續道：“您可參閱'Red Hat and Windows-Defining an Apples-to-Apples Workstation Build'來獲取更多細節，不過基本上我安裝了一台RHEL4WS計算機，將所有非默認安裝的組件排除在外，其中包括RHEL4WS提供的所有'服務器'組件。我另外還排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice) 以及開發工具(gcc等) 安裝包。我使用rpm命令來列出所有已安裝包，並根據這安裝包列表來過濾漏洞。” 　　瓊斯將這一結果稱為“Gnome-Windows工作站”，它包括標准系統管理工具、Web浏覽器Firefox以及音頻和視頻支持，不包括所有服務器包以及OpenOffice和其它Windows system未默認的選用組件。 　　·上市後的前6個月內，紅帽公司修復了214個影響精簡的RHEL4WS組件集的漏洞。其中所處理的有62個為高危漏洞。 　　·6個月期限結束時，在該精簡組件集中仍有59個公開披露的漏洞未得到Red Hat提供的補丁，其中12個列屬為高危漏洞。 　　瓊斯表示：雖然RHEL4WS精簡版的確比完整版有一個更好的6月期表現，但紅帽公司客戶在前6個月仍將面臨大量的漏洞問題。
　　Ubuntu 6.06 LTS (長期支持) 　　·2006年6月1日正式上市。在此之前已公開披露的漏洞有29個。其中9個高危漏洞，到一周後的6月8日時有7個已進行了修復。 　　·上市後的前6個月，Ubuntu修復了145個影響Ubuntu 6.06 LTS的漏洞，其中47個在NVD中列屬為高危漏洞。 　　·6個月期限結束時，在Ubuntu 6.06 LTS中至少有20個已公開披露的漏洞仍未有Ubuntu提供的相應補丁。 　　Ubuntu 6.06 LTS精簡組件版本 　　·上市後的前6個月內發現的漏洞為74個，其中28個列屬為高危漏洞。 　　·到6個月期限結束時，在精簡組件版中總共有11個公開披露的漏洞仍未有來自Ubuntu的補丁，其中2個列屬高危。 　　Novell的SLED 10 (SUSE Linux Enterprise Desktop 10) 　　·2006年7月17日正式上市，在其出貨日期前就已公開披露了至少23個漏洞， Novell在前6個月期限內為其中20個進行了修復，其中有5個是高危漏洞。 　　·上市後的前6個月期內，Novell共修復了159個影響SLED 10的漏洞，其中50個在NVD中列為高危。 　　·6個月期限結束時，在SLED 10有至少27個公開披露的漏洞仍未得到來自從Novell的補丁，其中6個列屬高危。 　　SLED 10中精簡組件版本 　　·上市後的前6個月內，Novell共修復了123個影響精簡版SLED10桌面組件集的漏洞。其中所處理的有44個為高危漏洞。 　　·6月期結束時，在精減的組件集中總共有20個公開披露過的漏洞仍未從Novell處獲得補丁，其中6個列屬高危漏洞。 Mac OS X v10.4 　　·2005年4月29日正式上市。在上市前就已公開披露了10個漏洞。蘋果公司在之後前6個月期間為其中9個提供了補丁，其中3個被列為高危漏洞。 　　·上市後的前6個月期內，蘋果公司共修復了60個影響OS X v10.4的漏洞，其中18個在NVD中被列為高危漏洞。 　　·6個月期結束時，Mac OS X v10.4仍有16個已公開披露的漏洞仍未到來自蘋果公司的補丁，其中3個列屬高危漏洞。
　　微軟評測操作系統安全性引發爭議 據瓊斯提供的漏洞數字看來，vista確實十分安全。但是很多人提出了不同看法，主要有以下三種說法是： 　　一，有分析人士和微軟觀察員表示，計算漏洞數並不是最佳衡量標准。 　　"我覺的用漏洞數量來衡量系統安全性是不妥當的，"專門研究微軟公司的研究機構Directions on Microsoft公司分析師邁克爾.徹裡（Michael Cherry）表示。"如果我們總是不斷糾纏於漏洞數目，我們幾乎等於是變相地施壓力於他們來偽造這一數字，不報告系統漏洞情況。我希望我們能有一個比漏洞數量更好的衡量標准。" 　　邁克爾.徹裡指出：不管怎麼說，漏洞數量的計算多少帶有些主觀性。"讓我們假設您正在對一個代碼模塊進行操作。您進入這個模塊來修復A問題，但當您修復A問題的同時您發現了B問題。那麼這種情況下您是算做一個問題還是兩個？我可以拿些案例來說明這兩種算法都是可能的"。 　　二是，Vista發布時間不長，人們對它的了解還不夠深入。 　　Microsoft Watch編輯喬.威爾科克斯（Joe Wilcox）表示：操作系統衛士中可能針對Linux發行版和Mac OS X的更多些。而越多的衛士，當然檢查出來的問題也就更多了。 　　邁克爾.徹裡表示：從一份6個月安全評估中是難以看出一種趨勢的。多數操作系統都有10年生命周期，且到目前為止Vista的部署還十分有限。 　　三，漏洞數目可能與實際不符。 　　安全博客賴安.納瑞恩（Ryan Naraine）在6月20日在他的博客中寫道：微軟一直在暗地裡修復在其公告上漏洞。他認為這是一種極具爭議性做法，它很大地減少公開記錄在案的bug數目並影響到補丁管理以及部署決策。" 　　不過，Directions on Microsoft公司的徹裡對此並不認同："我不理解這有什麼可意外的。微軟不斷發現代碼中問題，並不斷地加以修復。假如沒有人報告過這一問題，由此我並未看出有什麼損害，為什麼他們必須告訴人們漏洞所在。而當他們被加入到補丁包時，就等於告訴了我們漏洞情況。補丁包中有一份它所修復的補丁列表。這其中總會存在一些您從未聽過的部分。
　　vista是否更安全 難下結論 正如瓊斯在報告中提及的："Windows XP未受益於SDL （安全開