07杀软安全报告：微软第1 赛门铁克第2

ksana

　　在本周发布DeSecunia 2007年报告中,Secunia批评了安全软件厂商CADe代码质量,认为原生De代码问题导致了CA产品De漏洞.另外,“0-day”安全漏洞在 Firefox中修补De速度远高于微软IE. 在本周发布DeSecunia 2007年报告中,Secunia批评了安全软件厂商CADe代码质量,认为原生De代码问题导致了CA产品De漏洞.另外,“0-day”安全漏洞在 Firefox中修补De速度远高于微软IE.

　　在企业反病毒产品De漏洞排名上,CA以187高居榜首,由多到少,依次为赛门铁克(73),趋势科技(34),ClamAV(15),迈克菲(13)和F-Secure(6).

　　赛门铁克和CA高居前两位De部分原因是产品线过长,一些产品超过了反病毒De范畴.尽管如此,CA漏洞De主要原因仍然是原生De代码问题.

　　专家称,还有60个被报告De漏洞没有被修复.更为严重De是,专家认为,如果代码问题不能修复,还会容易出现类似De漏洞.

　　CA曾经声明其产品通过严格De质量控制标准,并不断提高标准.

　　赛门铁克中De部分漏洞是因为其产品使用了第三方开发者De漏洞软件.其中之一就是Symantec Mail中用来浏览Lotus 1-2-3文件DeAutonomy Keyview SDK.该组件在去年12月份被报存在高危漏洞,目前仍然没有修补,进而殃及赛门铁克产品.赛门铁克曾经声明发布了减轻问题De指南,并且向受影响De销售商提供了产品升级.IBMDeLotus Notes同样受到该漏洞De影响,但是已经修补了自己De产品.

操作系统和浏览器

　　Secunia监测De操作系统包括Windows(98及以上),Mac OS X,HP-UX 10.x和11.x,Solaris(8,9,10),Red Hat(不包括Fedora).Red Hat不幸高居榜首,633个漏洞,其中99%是在第三方组件中发现De(Linux基本上由第三方软件组成,由厂商打包).Red Hat已经反驳了这个数字,声称去年发现漏洞De正确数目为404.Solaris紧随其后,为252个,80%由于第三方组件.Mac OS X第三,235个,62%由于第三方组件.Windows则仅有123个报告De漏洞,但是与前三名不同,其中96%是操作系统自身问题造成De.HP-UX 被报告漏洞为75个,81%由于第三方代码.

　　上周,美国国土安全部在审核180个广泛使用De开源软件时,结果平均每一千行出现一个安全故障.

　　Red Hat漏洞数目De巨大,部分是由于包括了数目庞大De各种组件.报告中说,“Red Hat包括两种不同De浏览器和桌面环境,多个PDF阅读器和图像编辑器,等等.Red Hat,HP-UX,Solaris由于包括了大量De第三方组件,可以方便De构建服务期,同时Windows和Mac OS X就不具备这个特点.”

　　任何操作系统De安全性还要分析这篇报告没有涉及De要素,例如平均漏洞修补时间.

　　在浏览器方面,Firefox以64个漏洞占据首位,IE则为43个,Opera和Safari同为14个.

　　尽管如此,Secunia指出,从由第三方发现De0—day漏洞,到实现修补,FirefoxDe速度却要明显高于IE.在Firefox于2007年被报告De8个0—day漏洞中,5个已经被修补,其中之三是在一周内完成De.而IEDe10个0-day漏洞中,只有三个被修补,最短De等待时间是85天.

　　2007年,在浏览器插件方面,ActiveX导致了最多De问题,为339个(上一年为45个).Secunia发现,易受攻击DeActiveX组件在40余种不同De产品中使用.Quicktime以35个漏洞,Java以21个漏洞,分列二三位.