兩個禮拜前美國的國家網路安全組織 NCSD旗下的 CERT發佈了一個令人匪夷所思的報告;在這份報告當中,CERT表示 2005年當中,Unix/Linux上面被發現的安全漏洞是 2328個,而 Windows只有 812個,Unix/Linux的安全漏洞居然是 Windows的三倍!這份報告比較令人害怕的是微軟龐大的行銷經費似乎已經入侵到美國政府的研究單位,因為只要稍微看一下這份報告的內容,就會發現 CERT根本就是在鬼扯。
首先我們可以看一下 CERT列出來的前十個 Unix/Linux上面的安全漏洞:
1.4D WebSTAR Grants Access to Remote Users and Elevated Privileges to Local Users
2.4D WebStar Remote IMAP Denial of Service
3.4D WebStar Tomcat Plugin Remote Buffer Overflow
4.4D WebStar Tomcat Plugin Remote Buffer Overflow (Updated)
5.Abuse Multiple Vulnerabilities
6.Adobe Acrobat Reader mailListIsPdf() Buffer Overflow (Updated)
7.Adobe Acrobat Reader mailListIsPdf() Buffer Overflow (Updated)
8.Adobe Acrobat Reader UnixAppOpenFilePerform Buffer Overflow
9.Adobe Acrobat Reader UnixAppOpenFilePerform Buffer Overflow (Updated)
10.Adobe Reader / Acrobat Arbitrary Code Execution & Elevated Privileges
CERT似乎故意把同樣的問題重複列出來,事實上,在 CERT列出來的 2328個 Unix/Linux安全漏洞當中,有 62%是重複的。另外,CERT列出來的 Unix/Linux安全漏洞當中,絕大部分都是應用軟體的問題,跟作業系統本身並不相關:例如 4D Webstar是一個獨立的網頁伺服器產品,Adobe Acrobat Reader則是大家都熟悉的 PDF文件讀取軟體。
如果再看一下CERT列出來的 Windows安全漏洞,大家會發現 CERT刻意的美化這一邊的數字。例如:在 Unix/Linux這邊,如果有一個安全漏洞同時發生在 Solaris、HP-UX、RedHat Linux、以及 SuSE Linux,CERT就會把它算成是四個安全漏洞。如果 Abode Acrobat Reader版本 5.05、5.06、5.07、5.08、和 5.09都有同樣的問題,CERT也會把它算成有五個漏洞。但是對於 Windows,CERT則是非常寬容。如果有一個安全漏洞同時發生在 Windows 98、Me、2000、XP、...一直到 Windows for Itanium,CERT只會把它算成一個漏洞。
過去 CERT曾經是大家敬重的學術研究單位,看到它發佈的這份報告,只能讓人感嘆金錢的力量實在是無遠弗屆。不久之後大家應該就會看到微軟的廣告,上面寫著:「根據 CERT的統計,Windows比 Unix/Linux安全三倍!」
http://blogs.zdnet.com/Murphy/?p=501
首先我們可以看一下 CERT列出來的前十個 Unix/Linux上面的安全漏洞:
1.4D WebSTAR Grants Access to Remote Users and Elevated Privileges to Local Users
2.4D WebStar Remote IMAP Denial of Service
3.4D WebStar Tomcat Plugin Remote Buffer Overflow
4.4D WebStar Tomcat Plugin Remote Buffer Overflow (Updated)
5.Abuse Multiple Vulnerabilities
6.Adobe Acrobat Reader mailListIsPdf() Buffer Overflow (Updated)
7.Adobe Acrobat Reader mailListIsPdf() Buffer Overflow (Updated)
8.Adobe Acrobat Reader UnixAppOpenFilePerform Buffer Overflow
9.Adobe Acrobat Reader UnixAppOpenFilePerform Buffer Overflow (Updated)
10.Adobe Reader / Acrobat Arbitrary Code Execution & Elevated Privileges
CERT似乎故意把同樣的問題重複列出來,事實上,在 CERT列出來的 2328個 Unix/Linux安全漏洞當中,有 62%是重複的。另外,CERT列出來的 Unix/Linux安全漏洞當中,絕大部分都是應用軟體的問題,跟作業系統本身並不相關:例如 4D Webstar是一個獨立的網頁伺服器產品,Adobe Acrobat Reader則是大家都熟悉的 PDF文件讀取軟體。
如果再看一下CERT列出來的 Windows安全漏洞,大家會發現 CERT刻意的美化這一邊的數字。例如:在 Unix/Linux這邊,如果有一個安全漏洞同時發生在 Solaris、HP-UX、RedHat Linux、以及 SuSE Linux,CERT就會把它算成是四個安全漏洞。如果 Abode Acrobat Reader版本 5.05、5.06、5.07、5.08、和 5.09都有同樣的問題,CERT也會把它算成有五個漏洞。但是對於 Windows,CERT則是非常寬容。如果有一個安全漏洞同時發生在 Windows 98、Me、2000、XP、...一直到 Windows for Itanium,CERT只會把它算成一個漏洞。
過去 CERT曾經是大家敬重的學術研究單位,看到它發佈的這份報告,只能讓人感嘆金錢的力量實在是無遠弗屆。不久之後大家應該就會看到微軟的廣告,上面寫著:「根據 CERT的統計,Windows比 Unix/Linux安全三倍!」
http://blogs.zdnet.com/Murphy/?p=501
全站熱搜
留言列表