شمارش تعداد CVEها (آسیبپذیریهای عمومی و خطرناک) که در سامانههای عامل مختلف در سال ۲۰۱۵ منتشر شدهاند نشان میدهند که سامانهی عامل اپل دارای بیشترین تعداد CVE در سال بود، که منجر شد رقبای آن از سامانهی OS X آن به عنوان «آسیبپذیرترین» سامانه یاد کنند.
با توجه به جزییات اطلاعات منتشر شده، سامانهی عامل Mac OS X در همهی نسخهها دارای ۳۸۴ نقص در سال ۲۰۱۴ بوده است،iOS دارای ۳۷۵ نقص و فلشپلیر دارای ۳۱۴ نقص هستد. آسیبپذیریهای ویندوز از رتبهی ۱۰ تا ۱۸ را داشتهاند، اما بدترین محصول این شرکت ردموندی اینترنت اکسپلورر بوده است که به تنهایی دارای ۲۳۱ CVE بوده است.
اما به سادگی میتوان دریافت که خندیدن به شرکت اپل به دلایل بسیاری احمقانه است.
اولین مورد این است که در جزییات این بررسی هیچ تفاوتی میان شدت آسیبپذیریها در این فهرست مشاهده نمیشود. یک آسیبپذیری کمخطر (مثلاً چیزی که فقط میتواند توسط یک کاربر محلی با داشتن اعتبار و امتیاز مدیریتی مورد سوءاستفاده قرار گیرد) با حفرهایی که بتوان با استفاده از آن یک کد از راه دور را در سامانه اجرا کرد تفاوت کلی دارند.
دومین مورد که به همهی سامانههای عامل مربوط میشوند این است که بسیاری از حفرههای امنیتی چند سکویی هستند. یک مثال خوب در این مورد libpng است که در همه جا، از مرورگران تا ساعتهای هوشمند وجود دارد. ممکن است که این مورد تنها چهار توصیهنامه در سال ۲۰۱۵ داشته باشد اما اصلاحیههای آن به شرکتها و فروشندگان زیادی کشیده میشود.
مورد سوم: به نظر میرسد در جزییات این CVE انتساب برخی از این توصیهها به پروژهها به صورت دلخواه انجام شده است. مثلاً دستهای از حفرههای مربوط به LibreOffice/OpenOffice به عنوان CVE شرکت Debian مطرح شده است در حالیکه برخی از آنها از حفرههای Oracle MySQL هستند.
چهارمین مورد اینکه در اینجا تنها آسیبپذیریهایی که گزارش شدهاند، به شمارش آمده و مطالبی که چه توسط نهادهای امنیتی و چه توسط نفوذگران کلاه سیاه مخفی شدهاند گزارش نشده است. اصلاً خوب نیست که تعداد CVEها تبدیل به نوعی امتیاز برای برنده شدن در بازار شود.
حساب محبوب INFOSEC در توییتر در این مورد نوشته است:
«پس از من تکرار کنید: شمارش CVE در بررسی امنیتی شرکتهای بزرگ چندان کارا نیست. اما مردم عاشق اعداد هستند، بدون توجه به اینکه آنها میتوانند تا چه میزان بیمعنا باشند. »
همانگونه که این نمودار نشان میدهد (به جای فهرست مورد علاقهی رسانهها) مایکروسافت و ادوبی در میان ۴۰ محصول ارائهشده هر دو تعداد بیشتری CVE نسبت به اپل از نظر شرکت تولیدکننده داشتهاند.
حتی در شمارش هم مشکل وجود دارد. برای مثال با محدود کردن این خلاصه به ۵۰ CVE در جدول این فهرست نسبت به شرکت سیسکو بسیار سهلگیرانه است. سامانههای عامل مسیریاب IOS این شرکت تنها ۸۴ آسیبپذیری را نشان دادهاند، در حالیکه در میان همهی محصولات، این محصول سال شلوغی را داشته و ۴۸۸ شماره CVE را ضبط کرده است.
البته سیسکو به خاطر این کار قابل تقدیر است نه به این دلیل که امنیت کمتری را نسبت به اپل داشته است. بلکه به این خاطر که تلاش زیادی انجام داده است تا حفرههای امنیتی محصولات خود را کشف و اصلاح کند.
منبع : asis.io
ثبت نظر