Łatanie dziur przez Microsoft, Apple, Red Hat i Canonical

Jeff Jones, autor kontrowersyjnego raportu na temat bezpieczeństwa Internet Explorera i Firefoksa, postanowił porównać systemy operacyjne Microsoftu, Red Hata, Apple’a oraz Ubuntu.

Podstawowe wnioski, które z niego wypływają są następujące:

– w tym czasie producenci systemów operacyjnych (Microsoft, Apple, Red Hat i Canonical) załatali 585 błędów. Spośród nich aż 26,8% występowało w więcej niż jednym systemie, ale tylko 8 załatano tego samego dnia.
– najszybciej błędy łatał Microsoft. Średnio każda z luk doczekała się poprawki po 24,22 dniach od momentu publicznego ujawnienia dziury. Kolejny z producentów potrzebował aż 72 dni.
– najmniej błędów znaleziono w Windows Vista (21), a drugi w kolejności był Windows XP (26).

Niestety wszelkiego typu „rankingi luk” nie uwzględniają poziomu zagrożenia jakie dana luka stwarza. Mimo wszystko warto rzucić okiem na raport i płynące z niego wnioski.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

16 odpowiedzi na „Łatanie dziur przez Microsoft, Apple, Red Hat i Canonical”
  1. Awatar WoW
    WoW

    "Niestety wszelkiego typu “rankingi luk” nie uwzględniają poziomu zagrożenia jakie dana luka stwarza."

    Bo przeważnie są robione przez amatorów (dziennikarzy internetowych, bloggerów etc.), którzy nie maja wystarczającej wiedzy (bardzo specjalistycznej), żeby ocenić stopień zagrożenia jaki niesie dana luka dla systemu. Takie raporty to bardzo często podliczenie ogólnodostępnych danych, które nie mówi nic o tym ile luk tak naprawdę załatał dany producent.

    Pomijam już fakt, że takie porównania nie mają sensu, bo w każdym z tych systemów występuje różne oprogramowanie i mają one różny poziom funkcjonalności. Kogo interesuje to, że XP miał mniej dziur niż RH, skoro RH daje zupełnie inne możliwości?

    "Mimo wszystko warto rzucić okiem na raport i płynące z niego wnioski."

    Jak ktoś chce wyciągać błędne wnioski, to ok. Jednak proponuję też zapoznać się z klasyfikacją błędów stosowaną przez konkretnych producentów. Jeśli chodzi o RH, to ciekawie opisuje to Mark Cox w swoich raportach http://www.awe.com/mark/blog/200805262100.html – ostatni raport o ryzyku w RHEL.

  2. Awatar WoW
    WoW

    Ciekawi mnie też czas reakcji na udostępnienie poprawki – RH chwali się tym, że szybko udostępnia uaktualnienia. Kto kłamie?

    https://www.redhat.com/security/data/metrics/summ…

  3. Awatar Moro
    Moro

    Ciekawe czy znowu porównywali całego linuxa z gołym windowsem 🙂

    1. Awatar skiter
      skiter

      Calego czyli co z OOo na czele ? :), i moze jeszcze dozucimy jakies 100 innych aplikacji, bo tak wynikalo by 'caly linux'.

    2. Awatar morsik
      morsik

      Chyba GNU/Linuksa lub dystrybucji Linuksa 😉

      1. Awatar krzychos7
        krzychos7

        No przecież porównywali dokładnie Ubuntu z Windowsem. Według mnie bardzo nie adekwatne są te statystyki. Ciekaw w ogóle jestem w jakim okresie robili te statystyki. Co do 26 łat do XP to samych krytycznych uaktualnień bezpieczeństwa tyle jest w przeciągu 2-3miesięcy. Przynajmniej u mnie system się tak aktualizuje. Zaś w Ubuntu to mogę przyznać że prawie codziennie są jakieś aktualizacje, jednakże bardzo rzadko związane są z samym systemem lecz z aplikacjami.
        Poza tym jak każdy wie że łatwiej wykryć luki w otwartych systemach.
        Według mnie takie statystyki nie są adekwatne do bezpieczeństwa systemów. Lepiej by było robić statystyki z zainfekowań oraz włamań do systemów.

        1. Awatar hiciu
          hiciu

          aktualizacja do nowej wersji != łatka na błąd
          aktualizacja do nowej wersji > łatka na błąd

          (znaczy, nie wiem jak w ubuntu. W Archu są nowe wersje aplikacji, w Windowsie (XP przynajmniej) aktualizacje obejmują poprawę błędów, nie nową funkcjonalność.. Zazwyczaj.)

        2. Awatar WoW
          WoW

          "Co do 26 łat do XP to samych krytycznych uaktualnień bezpieczeństwa tyle jest w przeciągu 2-3miesięcy"

          Nieprawda.

          Dzisiaj zrobiłem sobie aktualizacje systemu po świeżej instalacji XP SP3 i teraz policzyłem aktualizacje związane z bezpieczeństwem nazywane "Aktualizacja zabezpieczeń dla systemu Windows XP (KB*)" i wyszło mi 17 + 3 związane z WMP11.

          Biorąc pod uwagę to, że SP3 wyszedł 21 kwietnia 2008, przez 6 miesięcy tych aktualizacji dużo nie było – wypada ok. 3 na miesiąc (dotyczących samego WinXP).

          Co z tego wynika? Niewiele, jak z większości statystyk.

          Windows nie jest bardzo dziurawy a Linux nie jest bardzo bezpieczny (RH ma fajne ficzery, ale ile osób używa takiego SELinuksa w innych dystrybucjach?). Przy dzisiejszym stopniu skomplikowania oprogramowania błędy i wpadki związane z bezpieczeństwem będą się zdarzały coraz częściej (nic nowego – specjaliści od bezpieczeństwa powtarzają to jak mantrę od wielu lat).

        3. Awatar Plichu
          Plichu

          Nie zgodziłbym się ze stwierdzeniem że linux nie jest "wcale' bezpieczniejszy ale to nie miejsce na kłótnie 🙂

  4. Awatar wildenergy
    wildenergy

    Wydawało mi się że łatki są publikowane przez Microsoft raz w miesiącu. Czy oznaczało by to że błędy są w większości wykrywane dzień przed publikacja łatek?

    1. Awatar szczuro
      szczuro

      "po X dniach od momentu publicznego ujawnienia dziur"
      tak sobie teoretyzuje 🙂
      w open source:
      H na forum: ej chłopaki znalazłem dziurę (publiczne ujawnienie)
      w Microsofcie:
      H – panowie macie dziurę
      MS wew: znów ktoś zauważył dziurę a myśleliśmy, że znie znajdzie. kto dziś łata ?
      H – panowie miesiąc temu pisałem że macie dziurę
      MS wew: się niecierpliwi przyśpieszcie pracę.
      H- ok podam to na forum (publiczna ujawnienie)
      MS wew: ej podał na forum to kończcie robić tą łatkę

      Podsumowując MS często może mieć więcej czasu przed na łatanie w przypadku "publicznego ujawnienia" niż open source, ze względu na niepublikowanie zgłaszanych błędów.

  5. Awatar foo
    foo

    – Badania pokazują, że dane wyciągnięte z dupy są tak samo dobre jak statystyki.
    – Ile badań to potwierdza?
    – 74.

  6. Awatar DIM
    DIM

    Autor znowu poszedł "po bandzie".
    Szczególnie podobają mi się te 2 zestawione ze sobą fragmenty

    "Tym razem nie brał pod uwagę jedynie liczby luk, ale również, m.in. średni czas jaki upłynął od momentu ich publicznego ujawnienia do opublikowania łaty."
    "Z raportu Jonesa dowiadujemy się też, że aż 89,7% luk zostało załatanych przez Microsoft w ciągu 1 dnia od momentu ich ujawnienia."

    Rozumiem, że w przypadku windowsa większość luk wypłynęła na światło dzienne w momencie publikacji w comiesięcznum biuletynie bezpieczeństwa razem z informacjami, że jutro zostaną wydane na nie łatki.
    Inaczej nie da się osiągnąć takiego współczynnika procentowego, zwłaszcza jeśli wydaje się łatki raz w MIESIĄCU.

    Ciekawe jakby się przedstawiała sytuacja gdyby autor sięgnął do źródeł swojego pracodawcy liczył czas istnienia dziur nie tylko od momentu publicznego ujawnienia, ale także od momentu zgłoszenia ich do MS, czy też wykrycia pierwszych ataków wykorzystujących lukę – w zależności co było pierwsze.

    To tak jakbym stał w kolejce do sklepu 2h, a pani przy kasie by później powiedziała, że obsłużyła mnie w 45 sek.

  7. Awatar dzikus
    dzikus

    Dlaczego ten portal, promuje coraz bardziej szmatławe dziennikarstwo?

    Panowie psudo dziennikarze, może zanim zaczniecie pisać bzdury, sięgniecie do źródeł i spróbujecie zrozumieć temat?

    Michuk, Kocio: ja rozumiem ten huraoptymizm: budujemy społeczność, ale może by tak jakieś mechanizmy weryfikacji kandydatów na autorów newsów? Dzisiejsze newsy są albo żenujące (vide: czepianie się o stopkę phpBB bo podobno łamie to licencje GPL), albo w zasadzie o niczym (tak jak ten) !!!

  8. Awatar borys
    borys

    Pomijajac wiarygodnosc statystyk, warto zauwazyc, ze te wyniki mozna dwojako interpretowac.

    Poprawki wystepujace 1 dzien po zgloszeniu moga swiadczyc o:
    – szybkim czasie reakcji na zgloszenia
    – banalnych bledach, ktore mozna zauwazyc i poprawic w 5 minut
    – ociaganiu sie z poprawkami, dopoki sprawa nie zrobi sie glosna

    Np.
    W systemie X zdarza sie 3 powazne luki, ktore poprawia sie zalozmy 4-5 dni, sredni czas dla nich okolo 4,5 dnia. W systemie Y zdarza sie 3 bledy, ktore poprawia sie 3-4 tygodnie oraz 50 banalnych bledow do poprawienia w 1 dzien.

    Jak sie ma sredni czas reakcji do powagi sytuacji?

    ;-))

  9. Awatar LM
    LM

    Streszczenie raportu:

    MSFT twierdzi, że produkty MSFT są najlepsze na rynku.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *