آسیب‌پذیری‌های اپل بیشتر است یا مایکروسافت؟

   
نام نویسنده:
|
دسته بندی:
|
شمارش تعداد CVEها (آسیب‌پذیری‌های عمومی و خطرناک) که در سامانه‌های عامل مختلف در سال ۲۰۱۵ منتشر شده‌اند نشان می‌دهند که سامانه‌ی عامل اپل دارای بیشترین تعداد CVE در سال بود، که منجر شد رقبای آن از سامانه‌ی OS X آن به عنوان «آسیب‌پذیرترین» سامانه یاد کنند.

با توجه به جزییات اطلاعات منتشر شده، سامانه‌ی عامل Mac OS X در همه‌ی نسخه‌ها دارای ۳۸۴ نقص در سال ۲۰۱۴ بوده است،iOS دارای ۳۷۵ نقص و فلش‌پلیر دارای ۳۱۴ نقص هستد. آسیب‌پذیری‌های ویندوز از رتبه‌ی ۱۰ تا ۱۸ را داشته‌اند، اما بدترین محصول این شرکت ردموندی اینترنت اکسپلورر بوده است که به تنهایی دارای ۲۳۱ CVE بوده است.

اما به سادگی می‌توان دریافت که خندیدن به شرکت اپل به دلایل بسیاری احمقانه است.

اولین مورد این است که در جزییات این بررسی هیچ تفاوتی میان شدت آسیب‌پذیری‌ها در این فهرست مشاهده نمی‌شود. یک آسیب‌پذیری کم‌خطر (مثلاً چیزی که فقط می‌تواند توسط یک کاربر محلی با داشتن اعتبار و امتیاز مدیریتی مورد سوءاستفاده قرار گیرد) با حفرهایی که بتوان با استفاده از آن یک کد از راه دور را در سامانه اجرا کرد تفاوت کلی دارند.

دومین مورد که به همه‌ی سامانه‌های عامل مربوط می‌شوند این‌ است که بسیاری از حفره‌های امنیتی چند سکویی هستند. یک مثال خوب در این مورد libpng است که در همه جا، از مرورگران تا ساعت‌های هوشمند وجود دارد. ممکن است که این مورد تنها چهار توصیه‌نامه در سال ۲۰۱۵ داشته باشد اما اصلاحیه‌های آن به شرکت‌ها و فروشندگان زیادی کشیده می‌شود.

مورد سوم: به نظر می‌رسد در جزییات این CVE انتساب برخی از این توصیه‌ها به پروژه‌ها به صورت دلخواه انجام شده است. مثلاً دسته‌ا‌ی از حفره‌های مربوط به LibreOffice/OpenOffice به عنوان CVE شرکت Debian مطرح شده است در حالی‌که برخی از آن‌ها از حفره‌های Oracle MySQL هستند.

چهارمین مورد این‌که در اینجا تنها آسیب‌پذیری‌هایی که گزارش شده‌اند، به شمارش آمده و مطالبی که چه توسط نهادهای امنیتی و چه توسط نفوذگران کلاه سیاه مخفی شده‌اند گزارش نشده است. اصلاً خوب نیست که تعداد CVEها تبدیل به نوعی امتیاز برای برنده شدن در بازار شود.

حساب محبوب INFOSEC در توییتر در این مورد نوشته است:

«پس از من تکرار کنید: شمارش CVE در بررسی امنیتی شرکت‌های بزرگ چندان کارا نیست. اما مردم عاشق اعداد هستند، بدون توجه به این‌که آن‌ها می‌توانند تا چه میزان بی‌معنا باشند. »

همان‌گونه که این نمودار نشان می‌دهد (به جای فهرست مورد علاقه‌ی رسانه‌ها) مایکروسافت و ادوبی در میان ۴۰ محصول ارائه‌شده هر دو تعداد بیشتری CVE نسبت به اپل از نظر شرکت تولیدکننده داشته‌اند.

حتی در شمارش هم مشکل وجود دارد. برای مثال با محدود کردن این خلاصه به ۵۰ CVE در جدول این فهرست نسبت به شرکت سیسکو بسیار سهل‌گیرانه است. سامانه‌های عامل مسیریاب IOS این شرکت تنها ۸۴ آسیب‌پذیری را نشان داده‌اند، در حالی‌که در میان همه‌ی محصولات، این محصول سال شلوغی را داشته و ۴۸۸ شماره CVE را ضبط کرده است.

البته سیسکو به خاطر این کار قابل تقدیر است نه به این دلیل که امنیت کمتری را نسبت به اپل داشته است. بلکه به این خاطر که تلاش زیادی انجام داده است تا حفره‌های امنیتی محصولات خود را کشف و اصلاح کند.

منبع : asis.io

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید