IBM上周三(8/25)發(fā)表今年上半年的X-Force趨勢與風(fēng)險報告,統(tǒng)計上半年全球揭露的安全漏洞數(shù)量與修補比例,但卻受到Google方面的質(zhì)疑,IBM也因此立即提出修正。受到質(zhì)疑的部份主要是未修補重大漏洞的數(shù)量及比例。原本的報告指稱Google有33%的重大漏洞未修補。不過,Google調(diào)查后發(fā)現(xiàn),所謂的33%其 實只是3個漏洞中的1個。此外,未被修補的那個并非重大漏洞,而是IBM將堆棧溢位(Stack overflow)臭蟲誤以為是會帶來安全威脅的堆棧緩沖區(qū)溢位(stack buffer overflow)屬于術(shù)語上的誤解。
Google安全專案經(jīng)理Adam Mein指出,安全業(yè)者使用不同的嚴(yán)重等級分類,使得計算漏洞總數(shù)的程序變得困難;此外,若要評估漏洞的嚴(yán)重性或規(guī)模,還是認(rèn)定這只是個臭蟲,有時候需要對該業(yè)者的產(chǎn)品或技術(shù)非常熟悉;并非所有的漏洞數(shù)據(jù)庫編譯器都能獨立驗證其他來源的臭蟲報告,因此,若其中有一個來源的數(shù)據(jù)錯誤,就可能被沿用。
IBM在受到Google的糾正后,也立即更新了有關(guān)未修補重大漏洞的數(shù)量及比例,將Google未修補之重大漏洞的數(shù)量改為0,比例亦更新為0%。
IBM X-Force研究團隊經(jīng)理Tom Cross表示,該團隊審查了每個知名的郵件論壇、安全報告,以及被揭露漏洞的文件,再加上各個漏洞的CVSS評分及修補訊息,上半年該團隊追蹤了近 4500個安全漏洞,可以想像這是個復(fù)雜的任務(wù),因為每個軟件廠商以不同的方式處理安全漏洞,而且現(xiàn)在用來分享相關(guān)資訊的標(biāo)準(zhǔn)極少。
IBM說此次的報告出爐后,他們收到兩家廠商的回應(yīng),并根據(jù)這些回應(yīng)重新手動評估每個漏洞的CVSS評分、修補資訊與廠商所提供的資訊,并更新了未修補漏洞/重大漏洞比例列表。
IBM并未公布是哪兩家廠商提出異議,不過,比較前后兩個列表,有改變的包括Google,重大漏洞未修補比例從33%改為0%,Linux 未修補重大漏洞比例亦自20%改為0%,昇陽自9%降為0%,微軟該比例自11%降為7%,其他廠商的重大漏洞未修補比例則維持不變。另外,IBM也計劃在下周釋出更新后的X-Force完整報告。