IBM在受到Google的糾正後,也立即更新了有關未修補重大漏洞的數量及比例,將Google未修補之重大漏洞比例從33%改為0。而其他可能是接受業者反應之後也有所改變的還包括Linux自20%改為0%,昇陽自9%降為0%,微軟自11%降為7%。文/陳曉莉 (編譯)
IBM上周三(8/25)發表今年上半年的X-Force趨勢與風險報告,統計上半年全球揭露的安全漏洞數量與修補比例,但卻受到Google質疑,IBM因此也立即提出修正。
受到質疑的部份主要是未修補重大漏洞的數量及比例。原本的報告指稱Google有33%的重大漏洞未修補。不過,Google調查後發現,所謂的33%其實只是3個漏洞中的1個。此外,未被修補的那個並非重大漏洞,而是IBM將堆積溢位(Stack overflow)臭蟲誤以為是會帶來安全威脅的堆積緩衝區溢位(stack buffer overflow)屬於術語上的誤解。
Google安全專案經理Adam Mein指出,安全業者使用不同的嚴重等級分類,使得計算漏洞總數的程序變得困難;此外,若要評估漏洞的嚴重性或規模,還是認定這只是個臭蟲,有時候需要對該業者的產品或技術非常熟悉;並非所有的漏洞資料庫編譯器都能獨立驗證其他來源的臭蟲報告,因此,若其中有一個來源的資料錯誤,就可能被沿用。
IBM在受到Google的糾正後,也立即更新了有關未修補重大漏洞的數量及比例,將Google未修補之重大漏洞的數量改為0,比例亦更新為0%。
IBM X-Force研究團隊經理Tom Cross表示,該團隊審查了每個知名的郵件論壇、業者的安全報告,以及被揭露漏洞的文件,再加上各個漏洞的CVSS評分及修補訊息,上半年該團隊追蹤了近4500個安全漏洞,可以想像這是個複雜的任務,因為每個軟體業者以不同的方式處理安全漏洞,而且現在用來分享相關資訊的標準極少。
IBM說此次的報告出爐後,他們收到兩家業者的回應,並根據這些回應重新手動評估每個漏洞的CVSS評分、修補資訊與業者所提供的資訊,並更新了「未修補漏洞/重大漏洞比例」列表。
IBM並未公布是哪兩家業者提出異議,不過,比較前後兩個列表,有改變的包括Google,重大漏洞未修補比例從33%改為0%,Linux未修補重大漏洞比例亦自20%改為0%,昇陽自9%降為0%,微軟該比例自11%降為7%,其他業者的重大漏洞未修補比例則維持不變。另外,IBM也計畫在下周釋出更新後的X-Force完整報告。
留言列表
