最近赛门铁克(Symantec)公司对Mozilla公司的Firefox浏览器的用户和开发者在上一年9月开始的抱怨作出回应,公司改变了对Firefox和IE两个浏览器的漏洞评估方法。
赛门铁克公司安全响应中心的高级经理奥立佛-弗莱德里希表示,以前公司对比评估。
Firefox和IE两个浏览器漏洞的方法是不公平的。
以前赛门铁克的互联网安全威胁报告中仅仅计算被两个浏览器的官方开发公司所确认的漏洞。而这一评估方法引来了Firefox用户的诸多不满,他们认为对于IE浏览器的漏洞评估是错误的,真正的漏洞要多得多。
而赛门铁克在星期二所发布的最新报告中,将评估数值分为两类:开发公司确认的漏洞和联合开发者以及非官方开发者确认的漏洞。
这样一来,天平开始向Firefox倾斜了。
在2005年下半年,微软确认了12个IE浏览器的漏洞,比04年同期的14个漏洞轻微下降。而Firefox则被确认了13个漏洞,刚好比IE多一个,但比04年同期的27个要少得多。
在过去的18个月里,如果仅仅考虑官方开发公司所确认的漏洞,Firefox要比IE多得多。在这段时间里,Firefox被确认的漏洞轻易的达到了60个,而IE被确认的漏洞比Firefox的一半还要少。
弗莱德里希解释这一差别是由于Firefox的开源性质所导致的。而现在新的评估方法则更加准确。因为不少漏洞很多时候都不需要被官方开发公司所确认。
依据这一新的评估方法,在2005年下半年,Firefox总计有17个漏洞,而IE则大幅增加到24个漏洞。
弗莱德里希表示,结合官方确认和非官方确认的漏洞来进行评估的方法是值得推荐的。因此这样可以避免官方开发公司修补漏洞的冗长过程对漏洞总数的影响。
但弗莱德里希强调,赛门铁克是不会去评价这两个浏览器哪个更好。
而在这份新的安全威胁报告中还提出了另一个参数“危险时效”,以反应没有打补丁的电脑系统在面对黑客入侵时所能抵御的时间。
Windows XP专业版的危险时效是1小时12秒,Windows 2000 SP4服务器版是1小时17分钟,而Windows 2003服务器版则更长一些。而相比之下,Linux系统则安全得多,在一个半月的测试期,系统最终都没有被黑客入侵。
目前,开发公司推出补丁的速度越来越快。在2005年下半年,微软公司推出补丁的周期是42天,比上半年的58天短了足足两个星期。
(e129)
