软件安全报告：微软可靠 CA最不安全_安全中国

在本周发布的Secunia 2007年报告中，Secunia批评了安全软件厂商CA的代码质量，认为原生的代码问题导致了CA产品的漏洞。另外，“0-day”安全漏洞在 Firefox中修补的速度远高于微软IE。在本周发布的Secunia 2007年报告中，Secunia批评了安全软件厂商CA的代码质量，认为原生的代码问题导致了CA产品的漏洞。另外，“0-day”安全漏洞在 Firefox中修补的速度远高于微软IE。

在企业反病毒产品的漏洞排名上，CA以187高居榜首，由多到少，依次为赛门铁克(73)，趋势科技(34)，ClamAV(15)，迈克菲(13)和F-Secure(6)。

赛门铁克和CA高居前两位的部分原因是产品线过长，一些产品超过了反病毒的范畴。尽管如此，CA漏洞的主要原因仍然是原生的代码问题。

专家称，还有60个被报告的漏洞没有被修复。更为严重的是，专家认为，如果代码问题不能修复，还会容易出现类似的漏洞。

CA曾经声明其产品通过严格的质量控制标准，并不断提高标准。

赛门铁克中的部分漏洞是因为其产品使用了第三方开发者的漏洞软件。其中之一就是Symantec Mail中用来浏览Lotus 1-2-3文件的Autonomy Keyview SDK。该组件在去年12月份被报存在高危漏洞，目前仍然没有修补，进而殃及赛门铁克产品。赛门铁克曾经声明发布了减轻问题的指南，并且向受影响的销售商提供了产品升级。IBM的Lotus Notes同样受到该漏洞的影响，但是已经修补了自己的产品。

操作系统和浏览器

Secunia监测的操作系统包括Windows(98及以上)，Mac OS X，HP-UX 10.x和11.x，Solaris(8，9，10)，Red Hat(不包括Fedora)。Red Hat不幸高居榜首，633个漏洞，其中99%是在第三方组件中发现的(Linux基本上由第三方软件组成，由厂商打包)。Red Hat已经反驳了这个数字，声称去年发现漏洞的正确数目为404。Solaris紧随其后，为252个，80%由于第三方组件。Mac OS X第三，235个，62%由于第三方组件。Windows则仅有123个报告的漏洞，但是与前三名不同，其中96%是操作系统自身问题造成的。HP-UX 被报告漏洞为75个，81%由于第三方代码。

上周，美国国土安全部在审核180个广泛使用的开源软件时，结果平均每一千行出现一个安全故障。

Red Hat漏洞数目的巨大，部分是由于包括了数目庞大的各种组件。报告中说，“Red Hat包括两种不同的浏览器和桌面环境，多个PDF阅读器和图像编辑器，等等。Red Hat，HP-UX，Solaris由于包括了大量的第三方组件，可以方便的构建服务期，同时Windows和Mac OS X就不具备这个特点。”

任何操作系统的安全性还要分析这篇报告没有涉及的要素，例如平均漏洞修补时间。

在浏览器方面，Firefox以64个漏洞占据首位，IE则为43个，Opera和Safari同为14个。

尽管如此，Secunia指出，从由第三方发现的0—day漏洞，到实现修补，Firefox的速度却要明显高于IE。在Firefox于2007年被报告的8个0—day漏洞中，5个已经被修补，其中之三是在一周内完成的。而IE的10个0-day漏洞中，只有三个被修补，最短的等待时间是85天。

2007年，在浏览器插件方面，ActiveX导致了最多的问题，为339个(上一年为45个)。Secunia发现，易受攻击的ActiveX组件在40余种不同的产品中使用。Quicktime以35个漏洞，Java以21个漏洞，分列二三位。