各款主流操作系統漏洞安全性大比拼

　　Vista上市半年漏洞少？

　　據微軟一份最新報告中數字顯示：相較於所有主流的enterprise Linux發行版和Mac OS X， Windows Vista 上市後前6個月所出現的嚴重安全漏洞最少。

　　

　　這一數字由微軟可信計算組（TCG）安全戰略總監傑夫.瓊斯（Jeff Jones）提供。瓊斯6月21日在他博客上有關這份報告的貼子中寫道： 『分析結果顯示：相較於其上一版本Windows XP上市後前6個月的表現而言，Windows Vista則持續呈現出漏洞總數更少、高危漏洞更少的趨勢。』。

　　在這份報告中，瓊斯分別羅列比較了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation（RHEL4W）、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精簡組件版本、Novell SUSE Linux Enterprise Desktop 10（Novell SLED 10）、Novell SLED 10精簡組件版本以及Apple Mac OS X v10.4中已發現的高危、中危和低危漏洞的數目。具體內容如下：

　　Vista

　　·2006年11月30日正式上市。上市後前6個月內，微軟發布了4次大型安全公告，共處理了12個影響Windows Vista的漏洞。

　　到6個月期限結束時，Vista未修復的大部分都是非高危漏洞，僅有最嚴重一個高危漏洞是該操作系統執行的一個Teredo地址，它無需用戶乾預就可直接連接到互聯網上。這一漏洞問題是由賽門鐵克在3月討論有關微軟對用於從IPv4過渡到IPv6的專屬IP隧道協議的使用時提出的。

　　據賽門鐵克發展技術總監奧利弗.威爾遜（Oliver Friedrichs）表示，有關Teredo的問題系指許多防火牆和入侵檢測系統並未能關注到Teredo。『他們並不熟悉該協議或如何分解該協議。這意味著，當我們在討論一款防火牆時，Teredo可能被用來對攻擊進行包裝或繞過防火牆進行攻擊。』

　　Windows XP

　　·2001年10月25日正式上市。上市的前3周中已披露和修復了IE中3個漏洞。因此，新用戶必須立即應用一個IE補丁來解決這些問題。

　　·上市後前6個月內，微軟共修復了36個漏洞（包括上述3個）。其中23個在美國國家漏洞數據庫（NVD）中列屬高危漏洞。

　　·6個月期限結束時，有3個已公開披露的漏洞仍未得到來自微軟的補丁，其中2個（CVE-2002-0189和CVE-2002-0694）被美國國家標准和技術研究院（NIST）列為高危漏洞。另一個則屬低危漏洞。

　　瓊斯在報告中寫道：『因此，相比上一版本產品，Windows Vista看起來在最初的90天表現更好，所發現的漏洞只有之前版本的1/3，且到6個月期限結束時，Windows Vista和Windows XP都僅有2個突出的高危漏洞問題。』

　　RHEL4W

　　RHEL4W是最受歡迎Linux發行版。

　　·2005年2月15日正式上市。在提供一般使用之前，出貨的組件中就有129個公開披露的bug，其中40個屬高危漏洞。

　　·上市後的前6個月期內，紅帽公司修復RHEL4W總計281個漏洞。其中86個已被NIST在NVD中列為『高危』。

 

　　RHEL4WS精簡組件版本

　　微軟的瓊斯承認：有許多人認為將Red Hat Enterprise Linux 4 WS上市時的組件和所支持的組件的漏洞都計算在內是不公平的。由此，他決定審查了Linux distributions包含完整組件的完全版本以及精簡的組件版本。為了順應這一想法，他額外分析RHEL4WS精簡組件版，即包括所有提供與Windows XP類似功能的組件，不包括其它選用組件。

　　『Linux發行版供應商通過包含和支持許多微軟Windows操作系統上所沒有的相應組件來為其工作站發行版本提供增值性功能，』他表示。『當對比Windows和Linux時對於將Linux發行版中'可選'應用程序計算在內時引發了普遍反對聲，認為這並不公平，因此我已完成了另外級別的分析來排除Windows OS未提供的功能組件的漏洞。』

　　他繼續道：『您可參閱'Red Hat and Windows-Defining an Apples-to-Apples Workstation Build'來獲取更多細節，不過基本上我安裝了一臺RHEL4WS計算機，將所有非默認安裝的組件排除在外，其中包括RHEL4WS提供的所有'服務器'組件。我另外還排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice) 以及開發工具(gcc等) 安裝包。我使用rpm命令來列出所有已安裝包，並根據這安裝包列表來過濾漏洞。』

　　瓊斯將這一結果稱為『Gnome-Windows工作站』，它包括標准系統管理工具、Web瀏覽器Firefox以及音頻和視頻支持，不包括所有服務器包以及OpenOffice和其它Windows system未默認的選用組件。

　　·上市後的前6個月內，紅帽公司修復了214個影響精簡的RHEL4WS組件集的漏洞。其中所處理的有62個為高危漏洞。

　　·6個月期限結束時，在該精簡組件集中仍有59個公開披露的漏洞未得到Red Hat提供的補丁，其中12個列屬為高危漏洞。

　　瓊斯表示：雖然RHEL4WS精簡版的確比完整版有一個更好的6月期表現，但紅帽公司客戶在前6個月仍將面臨大量的漏洞問題。

　　Ubuntu 6.06 LTS (長期支持)

　　·2006年6月1日正式上市。在此之前已公開披露的漏洞有29個。其中9個高危漏洞，到一周後的6月8日時有7個已進行了修復。

　　·上市後的前6個月，Ubuntu修復了145個影響Ubuntu 6.06 LTS的漏洞，其中47個在NVD中列屬為高危漏洞。

　　·6個月期限結束時，在Ubuntu 6.06 LTS中至少有20個已公開披露的漏洞仍未有Ubuntu提供的相應補丁。

　　Ubuntu 6.06 LTS精簡組件版本

　　·上市後的前6個月內發現的漏洞為74個，其中28個列屬為高危漏洞。

　　·到6個月期限結束時，在精簡組件版中總共有11個公開披露的漏洞仍未有來自Ubuntu的補丁，其中2個列屬高危。

　　Novell的SLED 10 (SUSE Linux Enterprise Desktop 10)

　　·2006年7月17日正式上市，在其出貨日期前就已公開披露了至少23個漏洞， Novell在前6個月期限內為其中20個進行了修復，其中有5個是高危漏洞。

　　·上市後的前6個月期內，Novell共修復了159個影響SLED 10的漏洞，其中50個在NVD中列為高危。

　　·6個月期限結束時，在SLED 10有至少27個公開披露的漏洞仍未得到來自從Novell的補丁，其中6個列屬高危。

　　SLED 10中精簡組件版本

　　·上市後的前6個月內，Novell共修復了123個影響精簡版SLED10桌面組件集的漏洞。其中所處理的有44個為高危漏洞。

　　·6月期結束時，在精減的組件集中總共有20個公開披露過的漏洞仍未從Novell處獲得補丁，其中6個列屬高危漏洞。

　　Mac OS X v10.4

　　·2005年4月29日正式上市。在上市前就已公開披露了10個漏洞。苹果公司在之後前6個月期間為其中9個提供了補丁，其中3個被列為高危漏洞。

　　·上市後的前6個月期內，苹果公司共修復了60個影響OS X v10.4的漏洞，其中18個在NVD中被列為高危漏洞。

　　·6個月期結束時，Mac OS X v10.4仍有16個已公開披露的漏洞仍未到來自苹果公司的補丁，其中3個列屬高危漏洞。