Apple - więcej luk niż Microsoft?

W pierwszej połowie 2008 r. w oprogramowaniu Apple'a znaleziono więcej błędów niż w produktach jakiegokolwiek innego producenta oprogramowania - wynika z danych przedstawionych przez działający w ramach koncernu IBM projekt X-Force. Firma z Cupertino zdetronizowała w ten sposób wieloletniego lidera rankingu - Microsoft (który w tym roku spadł aż na trzecią pozycję).

Apple już w poprzedniej edycji cyklicznego raportu X-Force (za drugą połowę 2007 r.) nie wypadł najlepiej - koncern pod względem liczby nowo wykrywanych luk znalazł się wtedy na drugiej pozycji, za Microsoftem. Najnowsze wydanie raportu nie przynosi najlepszych wieści dla firmy Steve'a Jobsa - w pierwszej połowie bieżącego roku najwięcej luk wykryto właśnie w produktach Apple. Microsoft spadł na trzecią pozycje - na drugim uplasował się projekt Joomla (w ramach którego rozwijany jest popularny open-source'owy system zarządzania treścią na stronach internetowych).

Joomla to nowość na liście X-Force - projekt został ujęty w zestawieniu, ponieważ autorzy raportu uwzględnili w swoich zestawieniach kryteria CPE (Common Platform Enumeration). To sprawiło, że w statystykach pojawiły się popularne CMS-y (Content Management System) - czyli właśnie Joomla i Drupal oraz system blogowy WordPress.

Przedstawiciel IBM X-Force tłumaczą, że uwzględnienie takiego oprogramowania na liście było niezbędne z uwagi na rosnącą liczbę luk wykrywanych w najróżniejszych aplikacjach webowych. Chodzi tu głównie o błędy pozwalające na przeprowadzanie ataków typu XSS (cross-site scripting) czy SQL injection - autorzy raportu zwracają uwagę, że takie luki stanowiły 50% wszystkich błędów wykrytych w pierwszych sześciu miesiącach bieżącego roku. Autorzy raportu zastrzegają też, że gdyby kryteria CPE zostały przyjęte w ubiegłym roku to na 4. pozycji zeszłorocznego zestawienia znalazłby się PHP.

Warto odnotować, że zestawienie, o którym mowa powyżej, dotyczy jedynie wykrywanych błędów. W raporcie odnotowano, że takie dane nie mogą być traktowane jako wskaźnik poziomu bezpieczeństwa danego oprogramowania - zdaniem przedstawicieli X-Force o wiele lepiej do tego nadaje się porównanie liczby wykrytych w danej aplikacji czy systemie luk z liczbą exploitów umożliwiających wykorzystanie owych błędów do atakowania użytkowników. W takim zestawieniu na pierwszym miejscu znalazł się Microsoft, zaś na kolejnych - HP oraz Apple.

Z opracowania dowiadujemy się też, że zarówno w przypadku Internet Explorera, jak i Firefoksa w analizowanym okresie odnotowano wyraźny spadek liczby wykrywanych poważnych luk. W pierwszej połowie 2008 r. w obu przeglądarkach wykryto po sześć krytycznych błędów związanych z obsługą pamięci (pozwalających np. na wywołanie błędu przepełnienia bufora). Pół roku wcześniej w IE takich błedów było aż 20, zaś w Fx - 8. Specjaliści z X-Force podkreślają, że błędy w popularnych przeglądarkach zwykle są błyskawicznie wykorzystywane przez przestępców - na aż 94% z nich tworzone są exploity (zdecydowana większość powstaje w ciągu 24 godzin od pojawienia się informacji o luce).

Raport IBM X-Force można znaleźć na stronie firmy.


Zobacz również