保安软件公司GFI最近发表报告,列出2014年漏洞数量最多的作业系统。然而文章内容错漏百出,更引发网民有关 Windows 还是 Linux 谁较安全的争论。
GFI 整理并引用美国国家漏洞资料库(National Vulnerability Database, NVD)的漏洞报告,指出漏洞最多前三名的作业系统分别是Apple Mac OS X、Apple iOS及 Linux Kernel,最后才是 Windows。但细心的读者会马上发现,这篇报告未曾指出Mac OS X、iOS和 Linux 的实际版本为何,并将所有版本整合在一起统计。反观 Windows 的计算则区分为不同版本,分别有Vista、7、8、8.1、RT,Server 2008,也忽略了已不受支援的 Windows XP。如果根据列表中不分版本的总数计算,漏洞最多身其实是Windows(248),其次是Apple Mac OS X(147)、Apple iOS(127),最后才是 Linux Kernel(119)。Windows 的248来自表中的38+36+38+36+36+34+30,GCI所宣称的「漏洞数目最多的排名」其实只是列表中的排行先后次序,与漏洞多少的排名无关。
对于网友的质疑,GFI软件公司产品经理 Cristian Florian 回应表示,作业系统差异性很大,因此原本就难以提出一个可以让大家都同意的分类。以Linux为例,每个不同的 Linux 版本,都可独立更新 Linux 核心,因此很难将 Linux 核心漏洞等同于个别的 Linux 版本。其后 Cristian Florian 就列出根据不同 Linux 版本的个别漏洞数目,与 Windows 进行比较。
Ubuntu
39 total vulnerabilities 7 high severity 27 medium severity 5 low severity
Red Hat Enterprise Linux
27 total vulnerabilities 6 high severity 17 medium severity 4 low severity
openSUSE
20 total vulnerabilities 9 high severity 9 medium severity 4 low severity
Fedora
15 total vulnerabilities 3 high severity 9 medium severity 3 low severity
If we had to group the different Windows versions under one entry the statistics would look like this:
Windows
68 total vulnerabilities 47 high severity20 medium severity 1 low severity
这样一来,Windows 漏洞大幅减少至68个,Linux 是39+27+20+15=101个。其中 Windows 有47个非常严重的漏洞,Linux 却只有7+6+9+3=25个非常严重的漏洞。这些版本中只有Ubuntu的39个,比 Windows Server 2008 的38个多,但其余 Linux 版本都比 Windows 少。事实上 Linux 因为是开源的閞系,程式码是公开的,本来就比较容易找到漏洞。但这并不代表不安全,还要考虑到漏洞修补的速度,以及发生实际攻击的情况。Linux 的漏洞大多数在被攻击之前,就已经修补好了,相对 Windows 很多因为被坏人先发现,而有更多的零时差攻击。另外报告又列出了2014年漏洞最多的前三大应用程式,分别是IE(242),Google Chrome(124),Mozilla Firefox(117)。严重等级的漏洞IE有220个,遥遥领先Chrome和Firefox。
最后Cristian Floriane 强调,文章目的是要彰显「所有产品都有漏洞」的讯息,而越是受欢迎的产品,越需要有更高的更新频率。并建议IT管理人员,不应该只注意到漏洞排行榜名单上的产品,以为不在名单内的就比较安全,事实上任何软件产品都,可能在某个时间点上受到攻击,「修补更新」才是安全之道。