各款操作系统漏洞安全性大比拼.docVIP

各款操作系统漏洞安全性大比拼 Vista上市半年漏洞少？ 据微软一份最新报告中数字显示：相较于所有主流的enterprise Linux发行版和Mac OS X， Windows Vista 上市后前6个月所出现的严重安全漏洞最少。 上市六月后各操作系统安全漏洞数量对比 上市六月后各操作系统安全高危漏洞数量对比 这一数字由微软可信计算组（TCG）安全战略总监杰夫.琼斯（Jeff Jones）提供。琼斯6月21日在他博客上有关这份报告的贴子中写道： “分析结果显示：相较于其上一版本Windows XP上市后前6个月的表现而言，Windows Vista则持续呈现出漏洞总数更少、高危漏洞更少的趋势。”。 在这份报告中，琼斯分别罗列比较了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation（RHEL4W）、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精简组件版本、Novell SUSE Linux Enterprise Desktop 10（Novell SLED 10）、Novell SLED 10精简组件版本以及Apple Mac OS X v10.4中已发现的高危、中危和低危漏洞的数目。具体内容如下： Vista ·2006年11月30日正式上市。上市后前6个月内，微软发布了4次大型安全公告，共处理了12个影响Windows Vista的漏洞。 到6个月期限结束时，Vista未修复的大部分都是非高危漏洞，仅有最严重一个高危漏洞是该操作系统执行的一个Teredo地址，它无需用户干预就可直接连接到互联网上。这一漏洞问题是由赛门铁克在3月讨论有关微软对用于从IPv4过渡到IPv6的专属IP隧道协议的使用时提出的。 据赛门铁克发展技术总监奥利弗.威尔逊（Oliver Friedrichs）表示，有关Teredo的问题系指许多防火墙和入侵检测系统并未能关注到Teredo。“他们并不熟悉该协议或如何分解该协议。这意味着，当我们在讨论一款防火墙时，Teredo可能被用来对攻击进行包装或绕过防火墙进行攻击。” Windows XP ·2001年10月25日正式上市。上市的前3周中已披露和修复了IE中3个漏洞。因此，新用户必须立即应用一个IE补丁来解决这些问题。 ·上市后前6个月内，微软共修复了36个漏洞（包括上述3个）。其中23个在美国国家漏洞数据库（NVD）中列属高危漏洞。 ·6个月期限结束时，有3个已公开披露的漏洞仍未得到来自微软的补丁，其中2个（CVE-2002-0189和CVE-2002-0694）被美国国家标准和技术研究院（NIST）列为高危漏洞。另一个则属低危漏洞。 琼斯在报告中写道：“因此，相比上一版本产品，Windows Vista看起来在最初的90天表现更好，所发现的漏洞只有之前版本的1/3，且到6个月期限结束时，Windows Vista和Windows XP都仅有2个突出的高危漏洞问题。” RHEL4W RHEL4W是最受欢迎Linux发行版。 ·2005年2月15日正式上市。在提供一般使用之前，出货的组件中就有129个公开披露的bug，其中40个属高危漏洞。 ·上市后的前6个月期内，红帽公司修复RHEL4W总计281个漏洞。其中86个已被NIST在NVD中列为“高危”。 RHEL4WS精简组件版本 微软的琼斯承认：有许多人认为将Red Hat Enterprise Linux 4 WS上市时的组件和所支持的组件的漏洞都计算在内是不公平的。由此，他决定审查了Linux distributions包含完整组件的完全版本以及精简的组件版本。为了顺应这一想法，他额外分析RHEL4WS精简组件版，即包括所有提供与Windows XP类似功能的组件，不包括其它选用组件。 “Linux发行版供应商通过包含和支持许多微软Windows操作系统上所没有的相应组件来为其工作站发行版本提供增值性功能，”他表示。“当对比Windows和Linux时对于将Linux发行版中可选应用程序计算在内时引发了普遍反对声，认为这并不公平，因此我已完成了另外级别的分析来排除Windows OS未提供的功能组件的漏洞。” 他继续道：“您可参阅Red Hat and Windows-Defining an Apples-to-Apples Workstation Build来获取更多细节，不过基本上我安装了一台RHEL4WS计算机，将所有非默认安装的组件排除在外，其中包括RHEL4WS提供的所有服务器组件。我另外还排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice)