微软公司在一项新研究中自豪地宣称,相比于近期发布的其他桌面操作系统,Windows Vista操作系统具有更少的安全漏洞。
微软安全业务部“可信赖计算计划”主管杰夫·琼斯表示,“Windows Vista拥有并改进了安全性能,它超越了它的前辈,并且明显优于另外几款与之竞争的现代操作系统。”
这项研究比较了以下产品发布90天内发现的漏洞数目:Windows Vista;Windows XP;Red Hat Enterprise Linux 4(REL4)工作站;Ubuntu 6.06 LTS;Novell公司的Suse Linux Enterprise Desktop 10(SLED10);苹果公司的OS X。(见下面的表格)
表格 发布后90天内发现的缺陷数
在几乎所有的安全参数上,Vista都要好于其他操作系统。Vista修正的缺陷最少,遇到“高级别”的严重故障而修复的次数也最少。它在90天后未修正的漏洞数第二少,仅仅落后于Windows XP。
苹果公司的OS X系统排在两个Windows系统之后,列第三位。紧随其后的是Ubuntu,SLED10和REL4。
通过比较已经发现和修正的缺陷数目来比较产品的安全性是一个有争议的方法。不同的操作系统有不同的特性,因而攻击者也会采用不同的方式来进行攻击。
琼斯试图回避特性差异上的批评,他对测试中采用的三个Linux发行版作了一些调整。调整后的版本已经去掉了Windows或OS X中没有的捆绑应用软件,例如OpenOffice产品套装以及制图和编程开发工具。
修复漏洞的数目也没有考虑攻击者和安全研究人员的偏好。因为 Windows是具有支配地位的操作系统,因而用户遭到攻击的风险更大。但是这也导致Windows被微软和独立工作的安全研究人员更严格地检查,因为他们正在竭尽全力保护自己的客户。
同时,由于苹果公司对待外来研究者的态度傲慢,以及苹果公司的支持者拒不承认苹果公司的软件存在任何安全问题,研究人员已经开始密切关注苹果公司的软件。这直接导致在苹果公司发布Safari 3 beta for Windows以后的数天内大量的安全漏洞被披露。
由于琼斯对Vista安全性的断言,他的报告可能遭到各方的激烈评论,但似乎他早已预见到了这种风险。在总共14页的研究报告的结尾,他写道:
“作者积极鼓励读者挑战他的假设、分析和结论,以及提供批评性意见,但是要求读者提供同样(或更加)严格的方法和分析支持自己的观点,同样地,作者反对宗教狂热一般的盲目拥护。”
注释:
1:在产品发布以前发现的漏洞。多数情况下可以通过一个补丁进行修复,但是必须在用户安装完以后才能起作用。
* 由美国标准与技术研究院的漏洞数据库指定的高度危险级别
** 经过调整的发行版,通过去掉捆绑组件模仿Windows的功能,这些组件包括OpenOffice和编程开发工具等。