Red Hat Linux i Firefox bardziej dziurawe niż produkty MS?

Firma Secunia - zajmująca się m.in. gromadzeniem informacji o lukach w popularnym oprogramowaniu - przedstawiła dane na temat liczby błędów wykrywanych w popularnych aplikacjach w ubiegłym roku. Z opracowania dowiadujemy się m.in. że w dystrybucji Linuksa firmy Red Hat oraz popularnej open-sourcowej przeglądarce Firefox wykryto w tym czasie znacznie więcej błędów niż w produktach Microsoftu (aczkolwiek Secunia zastrzega, że Mozilla szybciej radziła sobie z łataniem poważnych luk).

Secunia monitoruje luki wykrywane w systemach z rodzin: Windows (98 i późniejsze), Mac OS X, HP-UX 10.x i 11.x, Solaris 8, 9 oraz 10, a także Red Hat (włącznie z Fedorą). Najwięcej błędów w ubiegłym roku znaleziono w produktach firmowanych przez Red Hata - było ich aż 633. Secunia zaznacza, że aż 99% z nich znajdowało się w komponentach dostarczonych przez zewnętrznych developerów (co wynika z samej architektury systemów opartych na Linuksie). Warto zaznaczyć, iż przedstawiciele Red Hata twierdzą, że dane te są zawyżone - ich zdaniem poprawna liczba luk to 404.

Na drugim miejscu znalazł się Solaris - w systemach z tej rodziny wykryto łącznie 252 błędy (80% z nich znajdowało się w komponentach dostarczonych przez zewnętrznch developerów), zaś na trzecim - Mac OS X (235 luk, z tego 62 w "zewnętrznych" aplikacjach).

Kolejne miejsce zajęły: Windows - 123 błędy (96% z nich znajdowało się w samym systemie) oraz HP-UX (75 błędów, 81% z nich znaleziono w zewnętrznych komponentach).

Przedstawiciele Secunia tłumaczą, iż pierwsze miejsce Red Hata wynika z tego, że do dystrybucji tej wbudowanych jest wyjątkowo dużo komponentów dostarczonych przez zewnętrznych developerów. "Red Hat zawiera dwie przeglądarki, dwa interfejsy graficzne, kilka różnych czytników PDF itd., itd." - czytamy w raporcie. Faktem jednak jest, że w produkcie firmowanym marką Red Hat luk było najwięcej. Pamiętać trzeba, że raport przygotowany przez Secunia jest tylko podsumowaniem informacji o lukach zgłoszonych w ubiegłym roku i nie uwzględnia wielu innych czynników niezbędnych do miarodajnego ocenienia poziomu bezpieczeństwa oprogramowania - dlatego też przedstawiciele firmy podkreślają, że nie może być on traktowany jako wyznacznik bezpieczeństwa tego czy innego systemu.

Niechlubne pierwsze miejsce Firefoksa

Wśród przeglądarek na pierwszym miejscu pod względem luk znalazł się Firefox Mozilli - w 2007 r. wykryto w nim 64 błędy. Drugie miejsce zajął Internet Explorer Microsoftu (43 luki), zaś trzecie - ex equo - Opera i Safari (po 14 luk).

Mozilla lepiej niż Microsoft radziła sobie za to z usuwaniem tzw. luk "zero day" - czyli poważnych błędów, które publicznie opisano przed wydaniem przez autora dziurawego programu odpowiedniej poprawki. Takich błędów w Firefoksie wykryto w 2007 r. 8 - pięć z nich zostało załatanych, z tego trzy w mniej niż tydzień. W IE podobnych luk znaleziono 10 - załatano tylko 3, zaś najkrótszy czas łatania wyniósł... blisko 3 miesiące (85 dni).

Dziurawe antywirusy

W raporcie Secunia 2007 ostro skrytykowano też firmę CA za złą jakość kodu wykorzystywanego w jej produktach antywirusowych - przedstawiciele Secunia twierdzą, że stanowi to poważne zagrożenie dla użytkowników oprogramowania. W "antywirusie" tej firmy wykryto w ubiegłym roku aż 187 różnych błędów. Na drugim miejscu znalazł się Symantec (73 luki), zaś na kolejnych: Trend Micro (34), ClamAV (15), McAfee (13) oraz F-Secure (6).

Specjaliści z Secunia zwracają jednak uwagę, że liczba błędów w oprogramowaniu CA i Symanteka jest znacznie wyższa niż u konkurentów również z uwagi na to, że firmy te oferują bardzo wiele wersji swoich aplikacji antywirusowych i zabezpieczających . CA dodatkowo zganiono za to, że w produktach firmy wciąż jest ok. 60 zgłoszonych i niezałatanych luk. Symanteka za to częściowo usprawiedliwiono - okazuje się bowiem, że pewna część wykrytych w jego produktach luk znajdowała się w komponentach dostarczonych przez inne firmy.

Pełny raport Secunia 2007 znaleźć można na stronie firmy (plik PDF).


Zobacz również