Аналитическая фирма Secunia подсчитала, что в прошлом году в операционной системе Red Hat Linux и браузерах Firefox было выявлено значительно больше багов, чем в аналогичных продуктах Microsoft.

В опубликованном на этой неделе отчете Secunia критикует также компанию CA за качество ее антивирусных продуктов, утверждая, что из-за «внутренних проблем» кода в них обнаруживаются все новые уязвимости.

С другой стороны, проблемы безопасности, обнаруженные Firefox, решались быстрее, чем для Microsoft Internet Explorer.

Анализируя уязвимости, выявленные в корпоративных антивирусных продуктах, Secunia обнаружила, что CA значительно опережает конкурентов по их количеству, которое составило 187. Далее следуют Symantec (73), Trend Micro (34), ClamAV (15), McAfee (13) и F-Secure (6). Большое число уязвимостей в программах Symantec и СА отчасти объясняется широким спектром выпускаемых ими продуктов, в том числе не относящихся к антивирусам. Однако большинство багов СА вызвано «внутренними проблемами кода некоторых продуктов компании», — говорится в отчете Secunia. А многие уязвимости продуктов Symantec связаны с компонентами сторонних разработчиков.

Анализируя операционные системы — Windows (98 и выше), Mac OS X, HP-UX 10.x и 11.x, Solaris 8, 9, 10 и Red Hat (кроме Fedora) – Secunia обнаружила, что Red Hat значительно опережает остальные ОС по числу уязвимостей: их в этом ПО оказалось 633, причем 99% относятся к сторонним компонентам. (Дистрибутивы Linux обычно состоят главным образом из чужого ПО, объединенного дистрибьютором.) Red Hat не согласилась с этими цифрами, утверждая, что точное количество уязвимостей за прошлый год составляет 404.

За Red Hat, по версии Secunia, следует Solaris с 252 багами, 80% из которых содержится в сторонних компонентах. Третье место занимает Mac OS X с 235 обнаруженными уязвимостями, в 62% которых виновны сторонние производители. В Windows было обнаружено всего 123 бага, правда, 96% из них кроется в самой операционной системе. В HP-UX выявлено 75 багов, 81% из которых привнесены сторонним кодом.

На прошлой неделе Министерство внутренней безопасности США (DHS) сообщило, что в 180 широко используемых проектах программного обеспечения open-source кроется в среднем одна проблема безопасности на 1000 строк кода.

Большое число ошибок в Red Hat отчасти объясняется широким разнообразием и огромным количеством содержащихся в дистрибутиве компонентов. «Red Hat содержит два браузера и графических интерфейса, несколько программ для чтения файлов PDF и редакторов изображений и т.п., — говорится в отчете. — Red Hat, HP-UX и Solaris можно использовать в качестве серверов, поэтому в них тоже содержится много компонентов от сторонних поставщиков, чего нельзя сказать обо всех версиях Windows и Mac OS X».

В категории браузеров лидирует Firefox, в котором обнаружено 64 бага, против 43 в Internet Explorer и по 14 в Opera и Safari. Однако анализ zero-day уязвимостей — обнаруженных посторонними до выпуска патча — показал, что в Firefox они исправляются быстрее, чем в IE. Из восьми багов zero-day, выявленных в Firefox в 2007 году, были исправлены пять, причем три всего за одну неделю. Из 10 же подобных багов в IE было исправлено только три, причем в лучшем случае для этого понадобилось 85 дней.

По числу багов в дополнительных модулях для браузеров в 2007 году лидировал ActiveX с 339 выявленными багами (против 45 год назад). Вклад в эту цифру сделал проведенный в мае 2007 года «Месячник багов элементов управления ActiveX» и уязвимый компонент ActiveX, обнаруженный Secunia, который используется в 40 разных продуктах. Второе и третье места занимают соответственно QuickTime с 35 багами и Java с 21 багом.

Algonet.ru

*