Dziurawe oprogramowanie open source

Duńska firma Secunia (zajmująca się bezpieczeństwem systemów komputerowych) informuje, że w zeszłym roku w systemie operacyjnym Red Hat Linux i przeglądarce Firefox wykryto więcej dziur niż w "podobnych" produktach oferowanych przez Microsoft.

Jednocześnie luki typu "zero-day" dostrzeżone w przeglądarce FireFox były likwidowane szybciej niż podobne dziury odkryte w przeglądarce Internet Explorer. Informacje takie można znaleźć w opublikowanym w tym tygodniu przez firmę Secunia raporcie Secunia 2007 Report.

Biorąc pod uwagę liczbę dziur dostrzeżonych w programach antywirusowych przeznaczonych dla przedsiębiorstw, pierwsze miejsce zajmuje firma CA (187 dziur). Kolejne miejsca zajmują: Symantec (73), Trend Micro (34), ClamAV (15), McAfee (13) i F-Secure (6).

Zobacz również:

  • Coraz bardziej polegamy na aplikacjach mobilnych

Przyczyną zidentyfikowania tak dużej liczby dziur w rozwiązaniach firm CA i Symantec może być to, że oferują one szeroką gamę produktów, przy czym niektóre z nich zawierają nie tylko programy antywirusowe, ale również wspierają inne opcje. W przypadku firmy CA wiele dziur odkryto w produktach linii ARCServe Backup, przeznaczonych dla komputerów typu desktop oraz dla notebooków.

Jeśli chodzi o Symantec, to wiele dziur znaleziono tu dlatego, ponieważ produkty tej firmy korzystają często z usług narzędzi wytwarzanych przez niezależnych dostawców oprogramowania. Przykładem może tu być narzędzie o nazwie Autonomy Keyview SDK, używane przez program Symantec Mail do przeglądania plików Lotus 1-2-3.

Systemy operacyjne

Tu ocenie poddano następujące produkty: Windows (98 i nowsze systemy), Mac OS X, HP-UX 10.x i 11.x, Solaris 8, 9, i 10, i Red Hat (wyłączając Fedorę). Najwięcej dziur odkryto w zeszłym roku w systemie Red Hat (633), z czego 99% to dziury znajdujące się w elementach opracowanych przez niezależnych dostawców oprogramowania.

Dziurawe oprogramowanie open source

Na drugim miejscu znajduje się system Solaris (252 dziur; z czego 80% to dziury znajdujące się w elementach napisanych przez niezależnych dostawców oprogramowania). Trzecie miejsce przypadło systemowi Mac OS X 235 (235 dziur; z czego 62% to dziury znajdujące się w elementach napisanych przez niezależnych dostawców oprogramowania).

W systemach Windows wykryto 123 dziury (z czego 96% przypadło na dziury zlokalizowane w samym systemie operacyjnym), a w systemie HP-UX 75 dziur (z czego 81% to dziury znajdujące się w dodatkowych elementach napisanych przez niezależnych dostawców oprogramowania).

W Red Hat znaleziono tyle dziur głównie dlatego, że system zawiera dużo dodatkowych elementów i narzędzi (w tym dwie różne przeglądarki, kilka edytorów grafiki, czytników dokumentów PDF, itd.). Systemy Red Hat, HP-UX i Solaris są wykorzystywane do zarządzania serwerami, dlatego wspierają szereg dodatkowych opcji i mechanizmów, czego nie można powiedzieć o różnych wersjach systemów Windows i Mac OS X.

Przeglądarki

Jeśli chodzi o przeglądarki, to prym wiedzie Firefox (64 dziury). Kolejne miejsca zajmują: Internet Explorer (43 dziury) oraz Opera i Safari (po 14 dziur). Ważne jest tu to, że dziury typu "zero-day" wykrywane w przeglądarce Firefox były usuwane szybciej niż w innych przeglądarkach.

Na osiem dziur typu "zero-day" wykrytych w 2007 r. w przeglądarce Firefox, załatano pięć dziur, z czego załatanie trzech trwało ponad tydzień. Na 10 dziur typu "zero-day" wykrytych w przeglądarce IE, załatano tylko trzy dziury, a najkrótszy czas załatania dziury wyniósł 85 dni.

Biorąc pod uwagę dodatki towarzyszące przeglądarkom, najwięcej dziur odkryto w formantach ActiveX (399 dziur; w 2006 r. było to 45 dziur). Bardzo dużo dziur w formantach ActiveX wykryto w maju 2007 r. Kolejne miejsca w tej kategorii zajęły programy Quicktime (35 dziur) i Java (21 dziur).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200