GFI
資安軟體公司GFI 整理並引用美國國家漏洞資料庫(National Vulnerability Database, NVD)的漏洞報告統計指出,2014年漏洞最多的作業系統不是大家以為的Windows,而是Mac OS及iOS,其次是Linux,不過該篇文章也遭到一些網友批評,認為文章內容漏洞百出,嚴重誤導。
GFI軟體公司產品經理Cristian Florian表示,2014年NVD蒐集的新增漏洞有7038個,較2013年的4794大幅增加,也是五年來最多的一年,平均一天新增19個漏洞。在漏洞風險程度方面,嚴重等級的漏洞有1705個,約占所有漏洞的24%,相較之下2013年為1612個。
若以漏洞發生的產品區分,83%出現在第三方應用,作業系統漏洞占13%,僅有4%屬於硬體層級的漏洞。
這份報告分析作業系統漏洞數量顯示,2014年漏洞數量最多的作業系統前三名分別是Apple Mac OS X(147)、Apple iOS(127)及Linux Kernel(119)。微軟Windows,Windows Server 2008、Windows 7和Windows 8、Vista及RT分別在30到38個不等。若以嚴重等級的漏洞數量來看,Mac OS X及iOS也以64及32個分居前二名,Windows Server 2008和Linux Kernel則分別有26及24個,而且Mac OS X、iOS、Linux在中等與低嚴重性的漏洞上都大幅超過Windows。此外,該份報告後來另外補充Windows不分版本的合計漏洞總數則是68個。
漏洞最多的前三大應用則分別是IE(242),Google Chrome(124),Mozilla Firefox(117)。嚴重等級的漏洞IE有220個,遙遙領先Chrome和Firefox。此外,Adobe Flash Player和Oracle Java在漏洞總數及嚴重漏洞個數方面皆名列四、五名。GFI指出,瀏覽器是過去六年來漏洞最多的應用,Firefox和Chrome也都分別在2009/2012、2010/2011拿下冠軍、IE則是連兩年第一。
GFI並指出,從安全角度而言,2014年對Linux用戶來說是很挑戰的一年,數個重大漏洞都發生在Linux最常執行的應用上,例如OpenSSL上的Heartbleed,GNU Bash的Shellshock。
網友批評:報告漏洞百出
GFI的這篇報告也引起國外多家知名專業媒體的引用及報導,不過許多網友在留言中批評指出,這篇報告對Mac OS、iOS、Linux並不公平,未曾指出這三個作業系統的實際版本為何,並將所有版本整合在一起統計,反觀Windows的計算則是區分為不同版本,化整為零:Vista、7、8、8.1、RT,Server 2008。也有人指出,本篇報導忽略了已不受支援的Windows XP。
另有人指出,像Linux這類開放源碼作業系統本來就比較容易找到漏洞,但這並不代表不安全,應該還要考慮到漏洞修補以及發生實際攻擊的情況。署名Laurent的網友解釋為何就安全來說這些數字並沒多大意義指出,可以想像一下Linux雖然有更多漏洞但是多數在被攻擊之前就已經修補(這是好事),而Windows雖然漏洞較少但很多因為被壞人先發現而有更多的零時差攻擊。
對於網友的諸多質疑,Cristian Florian回應表示,作業系統差異性很大,因此原本就難以提出一個可以讓大家都同意的分類。以Linux為例,每個不同的Linux版本都可獨立更新Linux核心,因此很難將Linux核心漏洞等同於個別的Linux版本。面對質疑,Cristian Florian也另外提供了幾個各別Linux版本的漏洞數,統計如下:
| 作業系統版本 | 漏洞總數 | 重大 | 中度 | 輕微 |
| Ubuntu | 39 | 7 | 27 | 5 |
| Red Hat Enterprise | 27 | 6 | 17 | 4 |
| openSUSE | 20 | 9 | 9 | 4 |
| Fedora | 15 | 3 | 9 | 3 |
這些版本中只有Ubuntu的39個比Windows Server 2008的38個來得高,其餘Linux版本卻是少了很多。而重大等級的漏洞則都比Windows Server 2008少很多。不過,如果把所有的Windows版本合起來計算,2014年總共有68個漏洞(由於很多漏洞是不同Windows版本共通的,所以比相加總數少很多),屬嚴重等級者共有47個。其漏洞總數仍比Mac OS X、iOS及Linux Kernel少很多,但是嚴重等級的漏洞只比Mac OS X的64個少。
為回答網友質疑,Cristian Florian另外還提供更多的數字,如Android共有6個漏洞,4個為嚴重等級;Safari瀏覽器有70個漏洞,3個嚴重等級,67個中度。
最後Cristian Floriane強調,文章目的是要彰顯「所有產品都有漏洞」的訊息,而越是受歡迎的產品越需要有更高的更新頻率。並建議IT管理人員,不應該只注意到漏洞排行榜名單上的產品,以為不在名單內的就比較安全,事實上任何軟體產品都可能在某個時間點上受到攻擊,「修補更新」才是安全之道。
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-03
