Vista上市半年漏洞少？

据微软一份最新报告中数字显示：相较于所有主流的enterprise Linux发行版和Mac OS X， Windows Vista 上市后前6个月所出现的严重安全漏洞最少。

上市六月后各操作系统安全漏洞数量对比

上市六月后各操作系统安全高危漏洞数量对比

这一数字由微软可信计算组（TCG）安全战略总监杰夫.琼斯（Jeff Jones）提供。琼斯6月21日在他博客上有关这份报告的贴子中写道： “分析结果显示：相较于其上一版本Windows XP上市后前6个月的表现而言，Windows Vista则持续呈现出漏洞总数更少、高危漏洞更少的趋势。”。

在这份报告中，琼斯分别罗列比较了Window vista、Windows XP、Red Hat Enterprise Linux 4 Workstation（RHEL4W）、Ubuntu 6.06 LTS、Ubuntu 6.06 LTS精简组件版本、Novell SUSE Linux Enterprise Desktop 10（Novell SLED 10）、Novell SLED 10精简组件版本以及Apple Mac OS X v10.4中已发现的高危、中危和低危漏洞的数目。具体内容如下：

Vista

·2006年11月30日正式上市。上市后前6个月内，微软发布了4次大型安全公告，共处理了12个影响Windows Vista的漏洞。

到6个月期限结束时，Vista未修复的大部分都是非高危漏洞，仅有最严重一个高危漏洞是该操作系统执行的一个Teredo地址，它无需用户干预就可直接连接到互联网上。这一漏洞问题是由赛门铁克在3月讨论有关微软对用于从IPv4过渡到IPv6的专属IP隧道协议的使用时提出的。

据赛门铁克发展技术总监奥利弗.威尔逊（Oliver Friedrichs）表示，有关Teredo的问题系指许多防火墙和入侵检测系统并未能关注到Teredo。“他们并不熟悉该协议或如何分解该协议。这意味着，当我们在讨论一款防火墙时，Teredo可能被用来对攻击进行包装或绕过防火墙进行攻击。”

Windows XP

·2001年10月25日正式上市。上市的前3周中已披露和修复了IE中3个漏洞。因此，新用户必须立即应用一个IE补丁来解决这些问题。

·上市后前6个月内，微软共修复了36个漏洞（包括上述3个）。其中23个在美国国家漏洞数据库（NVD）中列属高危漏洞。

·6个月期限结束时，有3个已公开披露的漏洞仍未得到来自微软的补丁，其中2个（CVE-2002-0189和CVE-2002-0694）被美国国家标准和技术研究院（NIST）列为高危漏洞。另一个则属低危漏洞。

琼斯在报告中写道：“因此，相比上一版本产品，Windows Vista看起来在最初的90天表现更好，所发现的漏洞只有之前版本的1/3，且到6个月期限结束时，Windows Vista和Windows XP都仅有2个突出的高危漏洞问题。”

RHEL4W

RHEL4W是最受欢迎Linux发行版。

·2005年2月15日正式上市。在提供一般使用之前，出货的组件中就有129个公开披露的bug，其中40个属高危漏洞。

·上市后的前6个月期内，红帽公司修复RHEL4W总计281个漏洞。其中86个已被NIST在NVD中列为“高危”。

RHEL4WS精简组件版本

微软的琼斯承认：有许多人认为将Red Hat Enterprise Linux 4 WS上市时的组件和所支持的组件的漏洞都计算在内是不公平的。由此，他决定审查了Linux distributions包含完整组件的完全版本以及精简的组件版本。为了顺应这一想法，他额外分析RHEL4WS精简组件版，即包括所有提供与Windows XP类似功能的组件，不包括其它选用组件。

“Linux发行版供应商通过包含和支持许多微软Windows操作系统上所没有的相应组件来为其工作站发行版本提供增值性功能，”他表示。“当对比Windows和Linux时对于将Linux发行版中'可选'应用程序计算在内时引发了普遍反对声，认为这并不公平，因此我已完成了另外级别的分析来排除Windows OS未提供的功能组件的漏洞。”

他继续道：“您可参阅'Red Hat and Windows-Defining an Apples-to-Apples Workstation Build'来获取更多细节，不过基本上我安装了一台RHEL4WS计算机，将所有非默认安装的组件排除在外，其中包括RHEL4WS提供的所有'服务器'组件。我另外还排除了text-Internet、graphics (Gimp stuff)和office (OpenOffice) 以及开发工具(gcc等) 安装包。我使用rpm命令来列出所有已安装包，并根据这安装包列表来过滤漏洞。”

琼斯将这一结果称为“Gnome-Windows工作站”，它包括标准系统管理工具、Web浏览器Firefox以及音频和视频支持，不包括所有服务器包以及OpenOffice和其它Windows system未默认的选用组件。

·上市后的前6个月内，红帽公司修复了214个影响精简的RHEL4WS组件集的漏洞。其中所处理的有62个为高危漏洞。

·6个月期限结束时，在该精简组件集中仍有59个公开披露的漏洞未得到Red Hat提供的补丁，其中12个列属为高危漏洞。

琼斯表示：虽然RHEL4WS精简版的确比完整版有一个更好的6月期表现，但红帽公司客户在前6个月仍将面临大量的漏洞问题。

Ubuntu 6.06 LTS (长期支持)

·2006年6月1日正式上市。在此之前已公开披露的漏洞有29个。其中9个高危漏洞，到一周后的6月8日时有7个已进行了修复。

·上市后的前6个月，Ubuntu修复了145个影响Ubuntu 6.06 LTS的漏洞，其中47个在NVD中列属为高危漏洞。

·6个月期限结束时，在Ubuntu 6.06 LTS中至少有20个已公开披露的漏洞仍未有Ubuntu提供的相应补丁。

Ubuntu 6.06 LTS精简组件版本

·上市后的前6个月内发现的漏洞为74个，其中28个列属为高危漏洞。

·到6个月期限结束时，在精简组件版中总共有11个公开披露的漏洞仍未有来自Ubuntu的补丁，其中2个列属高危。

Novell的SLED 10 (SUSE Linux Enterprise Desktop 10)

·2006年7月17日正式上市，在其出货日期前就已公开披露了至少23个漏洞， Novell在前6个月期限内为其中20个进行了修复，其中有5个是高危漏洞。

·上市后的前6个月期内，Novell共修复了159个影响SLED 10的漏洞，其中50个在NVD中列为高危。

·6个月期限结束时，在SLED 10有至少27个公开披露的漏洞仍未得到来自从Novell的补丁，其中6个列属高危。

SLED 10中精简组件版本

·上市后的前6个月内，Novell共修复了123个影响精简版SLED10桌面组件集的漏洞。其中所处理的有44个为高危漏洞。

·6月期结束时，在精减的组件集中总共有20个公开披露过的漏洞仍未从Novell处获得补丁，其中6个列属高危漏洞。

Mac OS X v10.4

·2005年4月29日正式上市。在上市前就已公开披露了10个漏洞。苹果公司在之后前6个月期间为其中9个提供了补丁，其中3个被列为高危漏洞。

·上市后的前6个月期内，苹果公司共修复了60个影响OS X v10.4的漏洞，其中18个在NVD中被列为高危漏洞。

·6个月期结束时，Mac OS X v10.4仍有16个已公开披露的漏洞仍未到来自苹果公司的补丁，其中3个列属高危漏洞。

微软评测操作系统安全性引发争议

据琼斯提供的漏洞数字看来，vista确实十分安全。但是很多人提出了不同看法，主要有以下三种说法是：

一，有分析人士和微软观察员表示，计算漏洞数并不是最佳衡量标准。

"我觉的用漏洞数量来衡量系统安全性是不妥当的，"专门研究微软公司的研究机构Directions on Microsoft公司分析师迈克尔.彻里（Michael Cherry）表示。"如果我们总是不断纠缠于漏洞数目，我们几乎等于是变相地施压力于他们来伪造这一数字，不报告系统漏洞情况。我希望我们能有一个比漏洞数量更好的衡量标准。"

迈克尔.彻里指出：不管怎么说，漏洞数量的计算多少带有些主观性。"让我们假设您正在对一个代码模块进行操作。您进入这个模块来修复A问题，但当您修复A问题的同时您发现了B问题。那么这种情况下您是算做一个问题还是两个？我可以拿些案例来说明这两种算法都是可能的"。

二是，Vista发布时间不长，人们对它的了解还不够深入。

Microsoft Watch编辑乔.威尔科克斯（Joe Wilcox）表示：操作系统卫士中可能针对Linux发行版和Mac OS X的更多些。而越多的卫士，当然检查出来的问题也就更多了。

迈克尔.彻里表示：从一份6个月安全评估中是难以看出一种趋势的。多数操作系统都有10年生命周期，且到目前为止Vista的部署还十分有限。

三，漏洞数目可能与实际不符。

安全博客赖安.纳瑞恩（Ryan Naraine）在6月20日在他的博客中写道：微软一直在暗地里修复在其公告上漏洞。他认为这是一种极具争议性做法，它很大地减少公开记录在案的bug数目并影响到补丁管理以及部署决策。"

不过，Directions on Microsoft公司的彻里对此并不认同："我不理解这有什么可意外的。微软不断发现代码中问题，并不断地加以修复。假如没有人报告过这一问题，由此我并未看出有什么损害，为什么他们必须告诉人们漏洞所在。而当他们被加入到补丁包时，就等于告诉了我们漏洞情况。补丁包中有一份它所修复的补丁列表。这其中总会存在一些您从未听过的部分。

vista是否更安全 难下结论

正如琼斯在报告中提及的："Windows XP未受益于SDL （安全开发生命周期）开发流程，且其它与之竞争的工作台操作系统也未受益于一种类似SDL流程。"所以，不容忽视的是Vista客户端是首个通过微软安全开发生命周期流程开发出来的产品，有着微软至为骄傲的安全性能。SDL流程包括每个新功能威胁模式的建立以及通过外部安全研究人员进行的审查。

"对于Windows Vista，从一开始我们每每提及它的任何一个新功能，都先从威胁模式着手，"威尔逊表示。"每个功能都必须有相应的一个威胁模式。当进行开发时您必须知道，如果发现一个不法分子正攻击[一个功能]，您必须做的事情是？评估威胁模式。它在Vista中是崭新的一个开始环节。"

威尔逊指出：2006年，微软还雇佣了大量的第三方安全研究人员加入到他们总部工作。这些人被赋予了源代码的访问权，任务是要深入挖掘出所有漏洞。在2006年7月的黑帽安全大会上，其中许多人陆续提呈他们的发现成果，而且微软还为与会者提供了一个Vista beta副本，邀请他们加入到"找漏洞"行列中来。"我们认为这次很大不同点在于，"威尔逊表示。"微软集中从一个端到端工程立场出发正确对待这款产品，并且使用第三方研究人员来找出该产品问题。"

如何根据功能的威胁模式反应来对功能进行改动？UAC（用户账户控制）功能就是其中很好的一个例子。微软通过假设以下一种场景加以说明：如果用户正以一个标准用户身份在运行系统且想在采取一个管理行动，他（她）将需提升权限来作为一个管理员才能继续进行操作。威胁模式定位这个问题之前，如果有人通过诳骗使用户错误地认为他（她）正输入密码来进入系统，但事实上用户确实曾给予第三方这个登录名及密码，这时会发生什么呢？

"我们决定这种权限的提供必须在一个安全的桌面环境中进行，只有这种环境中代码不可能在被诳骗的用户接口位置运行，"威尔逊表示。"这是[微软创建]威胁模式的一个例子。可能有人会有疑问--有人能伪造这种对话吗？答案是我们看到有潜在可能性，因此我们对该代码作出改变以确保此类威胁的不会发生。"

总而言之，Vista是否更为安全，现在下结论还是太早。