Количество уязвимостей в Windows Vista, Windows XP, Ubuntu и других ОС за первые 90 дней после релиза

Многие помнят мой недавний пост про сравнение уязвимостей в новых ОС: https://blogs.technet.com/antonb/archive/2007/03/06/Windows-Vista-XP-Ubuntu-Mac-OS.aspx, который вызвал бурное обсуждение и массу комментариев.

Пришла пора опубликовать еще один пост на эту же тему. Jeff Jones опубликовал в своем блоге количество уязвимостей, которые были обнаружены (исправлены и нет) в первые 90 дней после релиза. В этот раз сравниваются Windows Vista, Windows XP, Ubuntu, Red Hat Enterprise, Suse Linux и Mac OS X.

Подробный отчет можно прочитать здесь: https://www.csoonline.com/pdf/Vista_Vuln_Report.pdf. Однако, график говорит сам за себя:)

Comments

• Anonymous
  January 01, 2003
  Если помните, то у меня уже был похожий пост, основанный на отчете Jeff'а: http://blogs.technet.com/antonb/archive/2007/03/22/Windows-Vista-Windows-XP-Ubuntu-.aspx

• Anonymous
  January 01, 2003
  К этому бы графику еще бы и статистику по количеству систем с этими ОС в мире - тогда было бы лучше. А так не совсем информативно все-таки, Антон =) Хотя статистика XP рядом с RHEL впечатляет =)

• Anonymous
  January 01, 2003
  Прочитал отчет и понял, что немного чушь сморозил. Занятненькие цифры...

• Anonymous
  January 01, 2003
  The comment has been removed

• Anonymous
  January 01, 2003
  То есть пока дыр в Windows было много это было нормально, а теперь вдруг стало некорректно? В конце концов, преимуществом является в смысле безопасности не открытый/закрытый код, а именно количество уязвимостей. И по какому признаку Вы тогда вообще предлагаете их сравнивать? Почему вообще тогда все вокруг только и делают, что сравнивают "плохой ОС Y" c "Хорошим ОСем Z"?

• Anonymous
  January 01, 2003
  Долго думал как назвать свой пост, в итоге коллега Ренат подсказал:) По аглицки звучит это так: "Days-of-risk

• Anonymous
  January 01, 2003
  Вот http://www.omninerd.com/2007/03/26/articles/74 более интересное сравнение. В тестировании использовались Nmap и Nessus.

• Anonymous
  January 01, 2003
  RHEL - February 15, 2005. Ubuntu - June 1, 2006. SuSe - June 1, 2006. MacOs - April 29, 2005 Так что ладно, фиг с RHEL & MacOS, но UBUNTU & SuSe вышли сравнительно недавно. Чтобы понять как автор считает - прочитайте отчет - он написал вполне подробно, какие данные и откуда он брал и как их обрабатывал. Мне кажется, просто этот обзор несколько неправильно позиционируют. Он не показывает, что Vista лучше ОС Y. Он показывает, что она просто хороша по одному из параметров. Да и в самом отчете написано английским по белому, мол "подождем, что будет дальше".

• Anonymous
  January 01, 2003
  To Amadey: а что является? То что Windows mustdie? Linux forever?     To Stanislav: ну Вы же должны понимать, что мало кто на данный момент занимается замалчиванием уязвимостей - слишком быстро всплывают эксплойты, как бы не старались их сохранить в тайне хацкеры =) To sysadmin: а Вы все-таки почитайте отчет. Там сказано что и с чем сравнивалось. И почему мы должны сравнивать голое ядро Linux с Vista, в которой софта тоже немало по умолчанию стоит? To all: я не апологет Windows и тем более не сотрудник MS. Просто возражения хотелось бы конструктивные. Мол вот цифра такая-то, а вот такая-то. А не просто "windows небезопасна".

• Anonymous
  January 01, 2003
  To асдф: да прочитайте Вы уже отчет то =) Что голословно утверждать? Я уже не говорю о том, что в голой XP тоже более сотни разных приложений. To Alexashka: Ну наибольшая проблема все-таки в "ограничивать доступ в интернет нельзя" и отсутствии политик безопасности. Кроме того, кто работает на Mandriva - девочки? У меня вирусов на компьютере не было уже более 3х лет, хотя все время стоит в это время windows.

• Anonymous
  March 22, 2007
  ну да если учеть что сравнение как обычно производиться на голой XP и на linux с морем пакетов то очень "правельная" статистика.

• Anonymous
  March 22, 2007
  чистой воды пиар, хотя чего тут еще ждать... Такие результаты, даже если они верные не являются показателем защищенности системы.

• Anonymous
  March 22, 2007
  Не понимаю что сравниваем: Комерческие системы с бесплатными -- покрайней мере как на меня глупо. И если так то почему нет Solaris, FreeBSD, OpenBSD. =============

2. Что сравниваем:

• базовые инсталяции
• системы с кучей установленого софта....
• системы подятые криворукими админами....

• Anonymous
  March 22, 2007
  Не важно с какими дистрибутивами сравнивать. Важно то, про какие уязвимости сказано публично и какие замалчиваются. А также, кто как считает критичность уязвимости. А то получится у дяди Билла это некритичная и даже не уязвимость, а так - фича. А другой посчитает это слишком серьезной вещью.

• Anonymous
  March 26, 2007
  Сравнивать ПО с открытым кодом по количеству дыр(а точнее даже по скорости обнаружения этих дыр) с закрытым ПО поменьшей мере необъективно и глупо

• Anonymous
  March 27, 2007
  А по-моему, очень даже неглупо. Особенно, если учесть, что админы Linux на каждом шагу кричат, что Windows плохо, а Linux хорошо (особенно, когда в нем кучу скриптов напишешь). И что самое интересное, практически каждый администратор UNIX считает себя очень крутым, а всех остальных админов криворукими.

• Anonymous
  March 27, 2007
  К тому-же сравнивать новое, со старым уже глупо. Висте от роду 90 дней, а всем остальным продуктам сколько? И как автор считал эти уязвимости? Может разработчик публикует их не сразу, а после прошествии некоторого времени. И как раз на это время и попался выход Висты. Вот и думай после этого. Может разработчики решили сразу опубликовать группу уязвимостей? А сравнивать одну ОС с другой, только малолетки и кричат что Линух - рулез или Виндовз - рулез, все те же малолетки. И сравнивать инструменты (куча скриптов) не имеет смысла и ничего не говорит. У меня в Винде куча скриптов, может быть и поболее чем у сисадмина Юникс системы.

• Anonymous
  March 28, 2007
  "ну да если учеть что сравнение как обычно производиться на голой XP и на linux с морем пакетов то очень "правельная" статистика." - а при чем тут кол-во пакетов? (а если оно действительно увеличивает дыры в самом линуксе, то тем хуже для линукс.)

• Anonymous
  March 28, 2007
  The comment has been removed

• Anonymous
  March 28, 2007
  Мне вспоминается как оправдывали малое количество вирусов в Linux'e - "мол, он мало распространен, поэтому неинтересен вирусописателям". Я думаю, понятно какой стороны эти аргументы. Возникла мысль, а насколько интересна Vista сейчас серьезным искателям дырок, если даже руководство Microsoft жалуется, что продажи идут плохо, и значит её распространенность остается пока под вопросом? Тока и видно на форумах - поставил, посмотрел - снес, вернул Windows XP

• Anonymous
  March 28, 2007

• а при чем тут кол-во пакетов? (а если оно действительно увеличивает дыры в самом линуксе, то тем хуже для линукс.) Не кажется сейчас, что чушь сморозил? Чтобы график был более-менее представительным - надо добавить к столбикам xp и vista количество глюков во всем (теоритически) софте под виндовс... Т.к. глюками редхата считаются глюки в апаче, майэскуэле, пхп, опенофисе и прочем... Очень в духе МС сравнение

• Anonymous
  March 28, 2007
  А что, после выхода vista для обычных пользователей прошло уже 90 дней ? ;)

• Anonymous
  March 28, 2007
  А вы бы еще сравнили количество пакетов, входящих в висту и в дистрибутив linux. Винды - это один сидюк, ну может незаполненный до конца дивидюк, на котором ничего нет для работы. Дистрибутив линукса - это почти ВСЕ программы, входящие в него, это около 50 гигабайтов исходников! Ошибка в любой программе, входящей в дистр считается ошибкой дистра. Давайте включим в статистику для виндов количество багов во всех программах для виндов, ну хоть в 5000 самых распространенных программах?

• Anonymous
  March 28, 2007
  Чорт. Надо макось сносить и ставить Висту пока не поздно. Брр, я в опасности!

• Anonymous
  March 29, 2007
  Вообще то, если почитать методику, то выяснится, что 1) сравнение основано на консолидированной базе предупреждений об уязвимостях для гос.учреждений США и заинтересованного бизнеса. Это, практически, официальная национальная база предупреждений об ИТ-проблемах. Ее, кстати, каждый может почитать.

2. Из уязвимостей Linux-подобных систем исключено все, чему нет прямого аналога в Windows. Так что сравнение, увы, совенренно коректное. Недвано с аналогичными результатами выступил Симантек, который был очень огорчен - все-таки рост надежности Windows отнимает у него хлеб :). Есть еще важная проблема. Есть у меня, допустим, мой любимый маленький интегральный БЭСМ (если кто знает). На него еще ни разу за всю историю не встал ни один вирус! Без всякого антивируса. Машина, конечно, хорошая :) Но редкая. Так вот. Есть строгая математическая теория, называется "теория просачивания" или "перколяции". Она показывает, что в коллективе узлов должен быть некоторый минимальный уровень числа узлов заданного типа, чтобы их можно было заразить. Linux со своим 1% в мире и 0.6% в России - на уровне ошибки эксперимента. Он может быть (и является) абсолютно уязвимым, просто заражать его некому. В этом различие в стратегии и последствиях заражения Windows и Linux. Уязвимость в W будет выявлена немедленно и исправлена под громкий шум прессы. Ошибка в L будет выявлена только заинтересованным хакером (да, и больше никем, на днях это как раз обсуждалось на совещании в Мозила-проекте) и оставлена до подходящего случая, когда какой-нибудь наивный орган власти или банк купится на сказки про неуязвимый Linux и поставит его без антивируса с дефолтными настройками. Сегодня уязвимости в L и основанном на нем ПО уже ответсвенны за большую часть проблем Интернета, не дай Бог, емы распространиться еще и на десктопы.

• Anonymous
  March 31, 2007
  Мне как-то пофиг, я каждые полгода на свой линух типа сервис пак ставлю: т.е. делаю апгрейд до следующей версии дистра (это как бы на виндовс XPSP2 поставить SP и оно стало бы вистой ;) ). Пакеты обновляются --- дырки закрываются. to Vlad: а зачем шуметь на весь мир, если нашёл дыру в W --- это же можно выгодно продать, хозяину ботнета например. :) to Alexashka: А что, если девчонок пересадить на мандриву, они от этого перестанут открывать вложения в письмах и не будут таскать всякое г из инета? То что сейчас нет троянов под линь не значит, что они не появятся в будущем... :(

• Anonymous
  April 05, 2007
  The comment has been removed

• Anonymous
  April 06, 2007
  Винду нельзя в сеть пускать. Потому как она и есть твой главный хакер. Система живет своей собственной жизнью, какие-то процессы, что-то куда-то шлют пока ты работаешь. Мне, как женщине, это не нравится.  Приятно что на Дебиане файрволл не фиксирует никакой активности, если ты сам ничего не делаешь в сети. Зашел пользователь на твой сайт, походил, ушел и - приятная тишина. Все видно, все прозрачно. Нет ничего лишнего. Будут тебя ломать - есть софт для напблюдения за сканами портов и т.п. В Линуксе есть варианты, а в Винде - нужно верить Биллу Гейтсу. У меня вопрос ко всем, почему самый богатый человек в мире - далеко не самый влиятельный человек в мире? разве деньги уже не решают все?

• Anonymous
  April 07, 2007
  Убунту 6.06 очень глючная вышла, что и не говори! Потом была 6.06.1 - так в ней, имхо глюков на порядок меньше хр! Мне нравиться Убунту..... да и по мне, так в линуксе ошибки исправляются гораздо быстрее - все ж открыто!

• Anonymous
  April 11, 2007
  Я придерживаюсь мнению о том, что всему свое время и место, тоесть однозначно сказать что Линуха плоха, винда крута или на оборот будет абсолютно не правильно. Зачем среднестатистическому пользователю нужны приложения от линукса в размере 50 гигов если он только играет да по сайтам бродит. Или как может админ в крупной компани поставить винду хом. Я лично отношусь уважительно к любым ОС так как каждая имеет свои плюсы и минусы, перепробовал практически все ОС за последние 10 лет.  

• Anonymous
  April 14, 2007
  Я пришел сюда по ссылке с microsoft.com и вижу, что идет усиленное обливание грязью второго по значимости продукта microsoft (первый разумеется ms office). Это такая корпоративная политика? По поводу уязвимостей. Давайте разбиратся, что такое уязвимость в Windows и уязвимость в Linux. Код Windows закрыт. Процесс разработки закрыт. Мы получаем готовый результат. Откуда берутся уязвимости? Обычные люди, то тут то там натыкаются на всякие странности, делятся между собой на форумах, обсуждают. Эту информацию собирают те самые злобные хакеры и пытаются найти систему в странностях и воспользоватся ими. Если получается, то вот вам и уязвимость. Реальная. Код Linux и увсе приложений открыт. Весь процесс разработки открыт, в любой момент можно скачать и поставить промежуточный результат разработки. И тут самое интересное. Программеры разных проектов любят тырить код друг у друга. Понятное дело не нагло кусками, а скорее идеи. И просматривая чужой код находят места которые они бы написали по другому, потому, что так к примеру потенциально може быть сбой в программе. Вот и идет сообщение об уязвимости. Сам патч может состоять из одной строчки кода. А условия для реализации уязвимости могут никогда не наступить. Что в итоге? Реальное кол-во людей находящих ошибки в Linux примерно равно кол-ву таких же, копающихся в Windows. А вот кол-во реальных уязвимостей в Linux надо делить на 20-30. А ещё лучше отобрать и сравнивать только уязвимости имеющие работающие эксплоиты.

• Anonymous
  April 16, 2007
  The comment has been removed

• Anonymous
  April 19, 2007
  баян полный.....особенно про висту...сам юзаю линукс.

• Anonymous
  April 19, 2007
  Товарищи! Про уязвимости:

1. Уязвимости для Linux отыскиваются быстрее в силу того, что большинство пакетов существующих дистрибутивов распространяются с исходниками как и само ядро. Это минус, но и это же плюс. Так как любой отыскавший эту уязвимость может её пофиксить локально либо обратиться к разработчику дистрибутива, либо отказаться от использования конкретного пакета в пользу альтернативного - многое зависит от квалификации пользователя. Если снова коснуться статистики, патчи для Linux выпускаются быстрее обновлений безопасности для Windows. И вообще, ещё 2 месяца назад, побывав на одной из конференций Microsoft, я окончательно понял, что толстые дяди навязывают нам свои идеи типа Vista, которые уже давно уживаются в Linux семействе. Система пользователей - аналог, Поиск - аналог Beagle, гаджеты - виджеты (десклеты), и даже Aero рядом не стоял c Compiz и Beryl. Послушав ахинею, которую несли эти дяди про то ,как Vista безопасна и красива, я, будучи ещё сторонником технологий Microsoft, разочаровался. Теперь я использую SUSE 10.2. И последнее... Я не думаю, что уважающая себя банковская система будет использовать дистрибутив с на стройками по умолчанию. Для таких целей Linux-система собирается с нуля. P.S. Для тех, кто сомневается в безопасности Linux, следует ознакомиться с её архитектурой.

• Anonymous
  April 19, 2007
  Архитектура Vista ещё не изучена людьми не посвящёнными в тайны Microsoft. Тогда как Linux'у уже 15 лет и исходники его открыты. Если бы у Висты исходники открыть???

• Anonymous
  May 27, 2007
  Буду пользоваться Windows XP и только им!Пока совсем не устареет.Vista больно дорога и простому домашнему пользователю переходить на неё сейчас рановато будет , ведь XP пока живет! Ну а поверх XP у меня только opensource т.к например Microsoft Office для меня дорог пользуюсь OpenOffice.org,но я знаю что офис от микрософт получше будет...Вообщем - Даёшь лицензионные Виндовсы в каждый дом и подешевле!!!!

• Anonymous
  October 25, 2007
  Есть несколько нюансов:

1. Большинство подобных "обзоров" заказные (сами понимаете, кто их заказывает) - об этом неоднократно говорилось в секьюрити-сообществе.
2. Самое важное - в *nix-системах большинство так называемых дыр - в прикладном ПО. Сам UNIX состоит из ядра, системных утилит и прикданого ПО (Веб-серверы, почтовые серверы и т.д.). Если нашли дыру, например, в ProFTPD, а у меня на сервере в качестве ПО стоит vsftpd - это не значит, что мой сервер дырявый - но дыра проиндексируется, как относящаяся к большинству дистрибутивов Linux (да и во Фре, Опен, Нет-БСД тоже можно поставит этот софт).
3. Прикладное ПО (упоминаемое выше) запускается с минимально необходимыми привлегиями и от имени пользователя, не имеющего собственного шелла (во Фре - ещё и в jail-окружении). "Пролом" самого сервера даст минимальные полномочия (если вообще даст - основная часть удалённых дыр - это DoS - просто перестаёт отвечать служба). Очень многие дыры имеют статус локальных - то есть требуют присутствия на сервере в качестве пользователя.
4. Прикладное ПО в Виндоуз тесно интегрировано в структуру ОС и запускается с привилегиями SYSTEM - в случае "пролома", например Веб-сервера от Мелкософт IIS - взломщик получает полный контроль над системой со всеми вытекающими последствиями.
5. Патчи для семейства ОС *nix выпускается не скажу, что моментально, но очень операчтивно, в то время, как уже года 3-4 (точно не помню) мелкомягкие перешли к ежемесячному выпуску пачки обновлений - между этими обновленями системы остаются дырявыми.

• Anonymous
  July 29, 2008
  Подскажыте пожалуста какой лутше поставить виндовс XP или VISTA и чем они отличаються?

• Anonymous
  August 16, 2008
  Некорректно само сравнение коммерческих и Свободных ОСей: найти дырку в исходном коде не так сложно, да и закрывают дырки в свободном ПО быстро (кто-то по-любому сообщит разработчикам). Другое дело - платное ПО: чтобы найти дырку нужно очень много времени и дизассемблер (или очень хорошая интуиция). В Linux и Windows одинаковое количество дыр, в Linux их быстрее находят и исправляют. Не все дыры одинаковы. В Linux (если у админа руки растут откуда надо) взлом не даст никаких привилегий и максимум, чего можно добиться - это DoS. В Windows (например, если стоит MS IIS) можно сразу попасть в SYSTEM и сделать то, чего администратор не может. Это - что касается серверов. С десктопами ещё хуже: поломали браузер - вся система у ваших ног (правите системные файлы, засаживаете троянов в автозапуск или прямо в ядро (мало кто такой умный, чтобы сделать "Ограниченную учетную запись" для походов в Интернет)). Дырки бывают разные: локальные и удалённые. Каким образом получить физический доступ к серверу?