Количество уязвимостей в Windows Vista, Windows XP, Ubuntu и других ОС за первые 90 дней после релиза


Многие помнят мой недавний пост про сравнение уязвимостей в новых ОС: http://blogs.technet.com/antonb/archive/2007/03/06/Windows-Vista-XP-Ubuntu-Mac-OS.aspx, который вызвал бурное обсуждение и массу комментариев.


Пришла пора опубликовать еще один пост на эту же тему. Jeff Jones опубликовал в своем блоге количество уязвимостей, которые были обнаружены (исправлены и нет) в первые 90 дней после релиза. В этот раз сравниваются Windows Vista, Windows XP, Ubuntu, Red Hat Enterprise, Suse Linux и Mac OS X.



Подробный отчет можно прочитать здесь: http://www.csoonline.com/pdf/Vista_Vuln_Report.pdf. Однако, график говорит сам за себя:)

Comments (39)

  1. Anonymous says:

    Если помните, то у меня уже был похожий пост, основанный на отчете Jeff’а: http://blogs.technet.com/antonb/archive/2007/03/22/Windows-Vista-Windows-XP-Ubuntu-.aspx

  2. KomatoZo says:

    К этому бы графику еще бы и статистику по количеству систем с этими ОС в мире – тогда было бы лучше. А так не совсем информативно все-таки, Антон =) Хотя статистика XP рядом с RHEL впечатляет =)

  3. KomatoZo says:

    Прочитал отчет и понял, что немного чушь сморозил. Занятненькие цифры…

  4. Anonymous says:

    Ну я не знаю как считают уязвимости…

    Вот у меня в организации в офисе сетка из 27 виндовс-машин. От Вин2000 до ВинХР. Эпидемия какого-нибудь нового вируса проходит с завидной регулярностью. Потому как ограничивать доступ в интернет нельзя… Профилактические беседы с девчонками по поводу того, что НЕЛЬЗЯ открывать неизвестные вложения – не помогают… А вирусы все хитрее. Единственная тачка, которая не смогла заразиться – это та, на которой, в качестве эксперимента стоит Мандрива 2007 (была 2006). И хоть бы хны ей. А обновления безопасности приходят регулярно что у МелкоПушистых, что у Мандривы. Количество не считал.

    А методика данного подсчета… А ХЗ. Они считают общее количество фиксов? Это некорректно 🙂 В линуксе очень много уязвимостей которые хрен применишь… А виндовсе… Эх.. Да что там говорить.

    А вот после всего этого… Мне вот не все равно –  сколько там обновлений выпущено/сколько уязвимостей найдено? 🙂 Главное – чтобы все работало!

  5. KomatoZo says:

    То есть пока дыр в Windows было много это было нормально, а теперь вдруг стало некорректно? В конце концов, преимуществом является в смысле безопасности не открытый/закрытый код, а именно количество уязвимостей. И по какому признаку Вы тогда вообще предлагаете их сравнивать? Почему вообще тогда все вокруг только и делают, что сравнивают "плохой ОС Y" c "Хорошим ОСем Z"?

  6. Anonymous says:

    Долго думал как назвать свой пост, в итоге коллега Ренат подсказал:) По аглицки звучит это так: "Days-of-risk

  7. Вот http://www.omninerd.com/2007/03/26/articles/74 более интересное сравнение. В тестировании использовались Nmap и Nessus.

  8. KomatoZo says:

    RHEL – February 15, 2005.

    Ubuntu – June 1, 2006.

    SuSe – June 1, 2006.

    MacOs – April 29, 2005

    Так что ладно, фиг с RHEL & MacOS, но UBUNTU & SuSe вышли сравнительно недавно. Чтобы понять как автор считает – прочитайте отчет – он написал вполне подробно, какие данные и откуда он брал и как их обрабатывал.

    Мне кажется, просто этот обзор несколько неправильно позиционируют. Он не показывает, что Vista лучше ОС Y. Он показывает, что она просто хороша по одному из параметров. Да и в самом отчете написано английским по белому, мол "подождем, что будет дальше".

  9. KomatoZo says:

    To Amadey: а что является? То что Windows mustdie? Linux forever?    

    To Stanislav: ну Вы же должны понимать, что мало кто на данный момент занимается замалчиванием уязвимостей – слишком быстро всплывают эксплойты, как бы не старались их сохранить в тайне хацкеры =)

    To sysadmin: а Вы все-таки почитайте отчет. Там сказано что и с чем сравнивалось. И почему мы должны сравнивать голое ядро Linux с Vista, в которой софта тоже немало по умолчанию стоит?

    To all: я не апологет Windows и тем более не сотрудник MS. Просто возражения хотелось бы конструктивные. Мол вот цифра такая-то, а вот такая-то. А не просто "windows небезопасна".

  10. KomatoZo says:

    To асдф: да прочитайте Вы уже отчет то =) Что голословно утверждать? Я уже не говорю о том, что в голой XP тоже более сотни разных приложений.

    To Alexashka: Ну наибольшая проблема все-таки в "ограничивать доступ в интернет нельзя" и отсутствии политик безопасности. Кроме того, кто работает на Mandriva – девочки? У меня вирусов на компьютере не было уже более 3х лет, хотя все время стоит в это время windows.

  11. KG1234 says:

    ну да если учеть что сравнение как обычно производиться на голой XP и на linux с морем пакетов то очень "правельная" статистика.

  12. Amadey says:

    чистой воды пиар, хотя чего тут еще ждать…

    Такие результаты, даже если они верные не являются показателем защищенности системы.

  13. Miroslav says:

    Не понимаю что сравниваем:

    Комерческие системы с бесплатными — покрайней мере как на меня глупо.

    И если так то почему нет Solaris, FreeBSD, OpenBSD.

    =============

    2. Что сравниваем:

    – базовые инсталяции

    – системы с кучей установленого софта….

    – системы подятые криворукими админами….

  14. Stanislav says:

    Не важно с какими дистрибутивами сравнивать. Важно то, про какие уязвимости сказано публично и какие замалчиваются. А также, кто как считает критичность уязвимости. А то получится у дяди Билла это некритичная и даже не уязвимость, а так – фича. А другой посчитает это слишком серьезной вещью.

  15. Xsessive says:

    Сравнивать ПО с открытым кодом по количеству дыр(а точнее даже по скорости обнаружения этих дыр) с закрытым ПО поменьшей мере необъективно и глупо

  16. SergS says:

    А по-моему, очень даже неглупо. Особенно, если учесть, что админы Linux на каждом шагу кричат, что Windows плохо, а Linux хорошо (особенно, когда в нем кучу скриптов напишешь). И что самое интересное, практически каждый администратор UNIX считает себя очень крутым, а всех остальных админов криворукими.

  17. Stanislav says:

    К тому-же сравнивать новое, со старым уже глупо.

    Висте от роду 90 дней, а всем остальным продуктам сколько? И как автор считал эти уязвимости? Может разработчик публикует их не сразу, а после прошествии некоторого времени. И как раз на это время и попался выход Висты. Вот и думай после этого. Может разработчики решили сразу опубликовать группу уязвимостей?

    А сравнивать одну ОС с другой, только малолетки и кричат что Линух – рулез или Виндовз – рулез, все те же малолетки.

    И сравнивать инструменты (куча скриптов) не имеет смысла и ничего не говорит. У меня в Винде куча скриптов, может быть и поболее чем у сисадмина Юникс системы.

  18. асдф says:

    "ну да если учеть что сравнение как обычно производиться на голой XP и на linux с морем пакетов то очень "правельная" статистика." – а при чем тут кол-во пакетов? (а если оно действительно увеличивает дыры в самом линуксе, то тем хуже для линукс.)

  19. 0101011 says:

    Если учитывать отзывы многих пользователей, о "параноидальном поведении" новой ОС, то такое небольшое количество уязвимостей – скорее закономерность. По известной мне информации, для создания зомби сетей, из машинок с новой ОС, надо несомненно больше теперь труда прикладывать.

  20. Joky says:

    Мне вспоминается как оправдывали малое количество вирусов в Linux’e – "мол, он мало распространен, поэтому неинтересен вирусописателям". Я думаю, понятно какой стороны эти аргументы.

    Возникла мысль, а насколько интересна Vista сейчас серьезным искателям дырок, если даже руководство Microsoft жалуется, что продажи идут плохо, и значит её распространенность остается пока под вопросом? Тока и видно на форумах – поставил, посмотрел – снес, вернул Windows XP

  21. Кирилл says:

    – а при чем тут кол-во пакетов? (а если оно действительно увеличивает дыры в самом линуксе, то тем хуже для линукс.)

    Не кажется сейчас, что чушь сморозил?

    Чтобы график был более-менее представительным – надо добавить к столбикам xp и vista количество глюков во всем (теоритически) софте под виндовс…

    Т.к. глюками редхата считаются глюки в апаче, майэскуэле, пхп, опенофисе и прочем…

    Очень в духе МС сравнение

  22. D says:

    А что, после выхода vista для обычных пользователей прошло уже 90 дней ? 😉

  23. Гусейнов Алексей says:

    А вы бы еще сравнили количество пакетов, входящих в висту и в дистрибутив linux. Винды – это один сидюк, ну может незаполненный до конца дивидюк, на котором ничего нет для работы. Дистрибутив линукса – это почти ВСЕ программы, входящие в него, это около 50 гигабайтов исходников! Ошибка в любой программе, входящей в дистр считается ошибкой дистра.

    Давайте включим в статистику для виндов количество багов во всех программах для виндов, ну хоть в 5000 самых распространенных программах?

  24. Slavusha says:

    Чорт. Надо макось сносить и ставить Висту пока не поздно. Брр, я в опасности!

  25. Vlad says:

    Вообще то, если почитать методику, то выяснится, что 1) сравнение основано на консолидированной базе предупреждений об уязвимостях для гос.учреждений США и заинтересованного бизнеса. Это, практически, официальная национальная база предупреждений об ИТ-проблемах. Ее, кстати, каждый может почитать.

    2) Из уязвимостей Linux-подобных систем исключено все, чему нет прямого аналога в Windows.

    Так что сравнение, увы, совенренно коректное. Недвано с аналогичными результатами выступил Симантек, который был очень огорчен – все-таки рост надежности Windows отнимает у него хлеб :).

    Есть еще важная проблема.

    Есть у меня, допустим, мой любимый маленький интегральный БЭСМ (если кто знает). На него еще ни разу за всю историю не встал ни один вирус! Без всякого антивируса. Машина, конечно, хорошая 🙂 Но редкая.

    Так вот. Есть строгая математическая теория, называется "теория просачивания" или "перколяции". Она показывает, что в коллективе узлов должен быть некоторый минимальный уровень числа узлов заданного типа, чтобы их можно было заразить. Linux со своим 1% в мире и 0.6% в России – на уровне ошибки эксперимента. Он может быть (и является) абсолютно уязвимым, просто заражать его некому.

    В этом различие в стратегии и последствиях заражения Windows и Linux. Уязвимость в W будет выявлена немедленно и исправлена под громкий шум прессы. Ошибка в L будет выявлена только заинтересованным хакером (да, и больше никем, на днях это как раз обсуждалось на совещании в Мозила-проекте) и оставлена до подходящего случая, когда какой-нибудь наивный орган власти или банк купится на сказки про неуязвимый Linux и поставит его без антивируса с дефолтными настройками.

    Сегодня уязвимости в L и основанном на нем ПО уже ответсвенны за большую часть проблем Интернета, не дай Бог, емы распространиться еще и на десктопы.

  26. Fynjy says:

    Мне как-то пофиг, я каждые полгода на свой линух типа сервис пак ставлю: т.е. делаю апгрейд до следующей версии дистра (это как бы на виндовс XPSP2 поставить SP и оно стало бы вистой 😉 ). Пакеты обновляются — дырки закрываются.

    to Vlad: а зачем шуметь на весь мир, если нашёл дыру в W — это же можно выгодно продать, хозяину ботнета например. 🙂

    to Alexashka: А что, если девчонок пересадить на мандриву, они от этого перестанут открывать вложения в письмах и не будут таскать всякое г из инета? То что сейчас нет троянов под линь не значит, что они не появятся в будущем… 🙁

  27. z-roy says:

    Здесь звучали совершенно правильные и справедливые слова, только вот не понятно почему же так люди в роде "Гусейнов Алексей" говорят такие глупости. Я на все 100% согласен с Vlad, потому как Линукс оказался в очень выгодном для себя положении. Причин тому несколько и чтобы не быть голословным приведу некоторые из них:

    1. Для масс линукс это что-то таинственное как правило без указателя мышки и т.д., что создаёт иллюзию неуязвимости в принципе.

    2. Каждый, кто хоть раз оказывался админом, пусть даже в парикмахерской с 3 компами, все во весь голос орал, что поставил себе Unix-подобную ОСь и что винда аццтой.

    ….

    А если по существу, то получается, что линукс – иллюзия защищённости. Ну зачем мне в 21 веке сидеть сутками за компом, чтобы понять как эта херня работает и чтобы через неделю какой-нибудь в роде меня пришёл и обосрал тут всё, что я сделал…

    Просто линуха – это специфично и достойно профессионала, в руках новичка это оружие и средство распространения всяческой дряни.

    Я считаю, что мелкософт пошёл по очень трудному пути.

    1.они пошли в массы, причём за одну и ту же ХР можно посадить и профессионала и его сына – линуха здесь отдохнёт.

    2. почти все (80-90%), а в России и того больше, а значит и пилить, ругать, ломать и т.д. будут её, а не линуху, на которой сидит "крот" сутками до которого и дела-то вообще нет, за исключением единичных случаев.

    3. то, что защищённость систем от мелкософта стала выше, а с приходом висты значительно выше, согласиться просто придётся. Я сам пользователь этой оси и поверьте, с лёкгостью отличу из вас кто её в глаза видел, а кто нет. Потому как меня лично бесит интернет мнение про неё, будто сговорились, хотя я на ней работаю с большим удовольствием, естесственно просидев не одну ночь, чтобы настроить абсолютно всё, что мне нужно.

    Поэтому я считаю, что говорить о винде – мастдай, просто не достойно таких блогов, всё-таки здесь не ламмеры должны собираться, а профессионалы, знающие своё дело, тем более, понимающие, что линуха, как и винда будут существовать одновременно и Наша с вами задача умень дифференцировать эти вещи, а не слоняться между ними.

    А подобная статья лишь илюстрирует то, что мы так не привыкли видеть, а по сути мы про линуху ничего и не видим, мы только говорим и слушаем….т.е. продолжаем эту иллюзию. С уважением, z-roy.

  28. LaChou says:

    Винду нельзя в сеть пускать. Потому как она и есть твой главный хакер. Система живет своей собственной жизнью, какие-то процессы, что-то куда-то шлют пока ты работаешь. Мне, как женщине, это не нравится.  Приятно что на Дебиане файрволл не фиксирует никакой активности, если ты сам ничего не делаешь в сети. Зашел пользователь на твой сайт, походил, ушел и – приятная тишина. Все видно, все прозрачно. Нет ничего лишнего. Будут тебя ломать – есть софт для напблюдения за сканами портов и т.п. В Линуксе есть варианты, а в Винде – нужно верить Биллу Гейтсу. У меня вопрос ко всем, почему самый богатый человек в мире – далеко не самый влиятельный человек в мире? разве деньги уже не решают все?

  29. Nickispeaki says:

    Убунту 6.06 очень глючная вышла, что и не говори! Потом была 6.06.1 – так в ней, имхо глюков на порядок меньше хр!

    Мне нравиться Убунту…..

    да и по мне, так в линуксе ошибки исправляются гораздо быстрее – все ж открыто!

  30. Miron says:

    Я придерживаюсь мнению о том, что всему свое время и место, тоесть однозначно сказать что Линуха плоха, винда крута или на оборот будет абсолютно не правильно. Зачем среднестатистическому пользователю нужны приложения от линукса в размере 50 гигов если он только играет да по сайтам бродит. Или как может админ в крупной компани поставить винду хом. Я лично отношусь уважительно к любым ОС так как каждая имеет свои плюсы и минусы, перепробовал практически все ОС за последние 10 лет.  

  31. serj says:

    Я пришел сюда по ссылке с microsoft.com и вижу, что идет усиленное обливание грязью второго по значимости продукта microsoft (первый разумеется ms office). Это такая корпоративная политика?

    По поводу уязвимостей. Давайте разбиратся, что такое уязвимость в Windows и уязвимость в Linux.

    Код Windows закрыт. Процесс разработки закрыт. Мы получаем готовый результат. Откуда берутся уязвимости? Обычные люди, то тут то там натыкаются на всякие странности, делятся между собой на форумах, обсуждают. Эту информацию собирают те самые злобные хакеры и пытаются найти систему в странностях и воспользоватся ими. Если получается, то вот вам и уязвимость. _Реальная_.

    Код Linux и увсе приложений открыт. Весь процесс разработки открыт, в любой момент можно скачать и поставить промежуточный результат разработки. И тут самое интересное. Программеры разных проектов любят тырить код друг у друга. Понятное дело не нагло кусками, а скорее идеи. И просматривая чужой код находят места которые они бы написали по другому, потому, что так к примеру _потенциально_ може быть сбой в программе. Вот и идет сообщение об уязвимости. Сам патч может состоять из одной строчки кода. А условия для реализации уязвимости могут никогда не наступить.

    Что в итоге? Реальное кол-во людей находящих ошибки в Linux примерно равно кол-ву таких же, копающихся в Windows. А вот кол-во _реальных_ уязвимостей в Linux надо делить на 20-30. А ещё лучше отобрать и сравнивать только уязвимости имеющие работающие эксплоиты.

  32. AB says:

    ИМХО количество дыр не есть показатель. Ведь дырка может быть очень маленькой и безвредной, а может оказаться большой дырой. Поэтому я считаю , что уязвимость (недоделаность, корявость) надо определять какими-то относительными коэфициентами/показателями, а не просто количеством дырок или дыр.

  33. inkognito says:

    баян полный…..особенно про висту…сам юзаю линукс.

  34. cyberex says:

    Товарищи! Про уязвимости:

    1. Уязвимости для Linux отыскиваются быстрее в силу того, что большинство пакетов существующих дистрибутивов распространяются с исходниками как и само ядро. Это минус, но и это же плюс. Так как любой отыскавший эту уязвимость может её пофиксить локально либо обратиться к разработчику дистрибутива, либо отказаться от использования конкретного пакета в пользу альтернативного – многое зависит от квалификации пользователя. Если снова коснуться статистики, патчи для Linux выпускаются быстрее обновлений безопасности для Windows. И вообще, ещё 2 месяца назад, побывав на одной из конференций Microsoft, я окончательно понял, что толстые дяди навязывают нам свои идеи типа Vista, которые уже давно уживаются в Linux семействе. Система пользователей – аналог, Поиск – аналог Beagle, гаджеты – виджеты (десклеты), и даже Aero рядом не стоял c Compiz и Beryl. Послушав ахинею, которую несли эти дяди про то ,как Vista безопасна и красива, я, будучи ещё сторонником технологий Microsoft, разочаровался. Теперь я использую SUSE 10.2.

    И последнее… Я не думаю, что уважающая себя банковская система будет использовать дистрибутив с на стройками по умолчанию. Для таких целей Linux-система собирается с нуля.

    P.S. Для тех, кто сомневается в безопасности Linux, следует ознакомиться с её архитектурой.

  35. сниукуч says:

    Архитектура Vista ещё не изучена людьми не посвящёнными в тайны Microsoft. Тогда как Linux’у уже 15 лет и исходники его открыты. Если бы у Висты исходники открыть???

  36. illi says:

    Буду пользоваться Windows XP и только им!Пока совсем не устареет.Vista больно дорога и простому домашнему пользователю переходить на неё сейчас рановато будет , ведь XP пока живет!

    Ну а поверх XP у меня только opensource т.к например Microsoft Office для меня дорог пользуюсь OpenOffice.org,но я знаю что офис от микрософт получше будет…Вообщем – Даёшь лицензионные Виндовсы в каждый дом и подешевле!!!!

  37. ............ says:

    Есть несколько нюансов:

    1. Большинство подобных "обзоров" заказные (сами понимаете, кто их заказывает) – об этом неоднократно говорилось в секьюрити-сообществе.

    2. Самое важное – в *nix-системах большинство так называемых дыр – в прикладном ПО. Сам UNIX состоит из ядра, системных утилит и прикданого ПО (Веб-серверы, почтовые серверы и т.д.). Если нашли дыру, например, в ProFTPD, а у меня на сервере в качестве ПО стоит vsftpd – это не значит, что мой сервер дырявый – но дыра проиндексируется, как относящаяся к большинству дистрибутивов Linux (да и во Фре, Опен, Нет-БСД тоже можно поставит этот софт).

    3. Прикладное ПО (упоминаемое выше) запускается с минимально необходимыми привлегиями и от имени пользователя, не имеющего собственного шелла (во Фре – ещё и в jail-окружении). "Пролом" самого сервера даст минимальные полномочия (если вообще даст – основная часть удалённых дыр – это DoS – просто перестаёт отвечать служба). Очень многие дыры имеют статус локальных – то есть требуют присутствия на сервере в качестве пользователя.

    4. Прикладное ПО в Виндоуз тесно интегрировано в структуру ОС и запускается с привилегиями SYSTEM – в случае "пролома", например Веб-сервера от Мелкософт IIS – взломщик получает полный контроль над системой со всеми вытекающими последствиями.

    5. Патчи для семейства ОС *nix выпускается не скажу, что моментально, но очень операчтивно, в то время, как уже года 3-4 (точно не помню) мелкомягкие перешли к ежемесячному выпуску пачки обновлений – между этими обновленями системы остаются дырявыми.

  38. fild says:

    Подскажыте пожалуста какой лутше поставить виндовс XP или VISTA и чем они отличаються?

  39. Dim@N_SS47 says:

    Некорректно само сравнение коммерческих и Свободных ОСей: найти дырку в исходном коде не так сложно, да и закрывают дырки в свободном ПО быстро (кто-то по-любому сообщит разработчикам). Другое дело – платное ПО: чтобы найти дырку нужно очень много времени и дизассемблер (или очень хорошая интуиция). В Linux и Windows одинаковое количество дыр, в Linux их быстрее находят и исправляют.

    Не все дыры одинаковы. В Linux (если у админа руки растут откуда надо) взлом не даст никаких привилегий и максимум, чего можно добиться – это DoS. В Windows (например, если стоит MS IIS) можно сразу попасть в SYSTEM и сделать то, чего администратор не может. Это – что касается серверов.

    С десктопами ещё хуже: поломали браузер – вся система у ваших ног (правите системные файлы, засаживаете троянов в автозапуск или прямо в ядро (мало кто такой умный, чтобы сделать "Ограниченную учетную запись" для походов в Интернет)).

    Дырки бывают разные: локальные и удалённые. Каким образом получить физический доступ к серверу?

Skip to main content