西西軟件園多重安全檢測下載網(wǎng)站、值得信賴的軟件下載站!
軟件
軟件
文章
搜索

首頁業(yè)內(nèi)動態(tài) 業(yè)內(nèi)資訊 → IBM安全漏洞數(shù)量與修補報告被Google質(zhì)疑并修正

IBM安全漏洞數(shù)量與修補報告被Google質(zhì)疑并修正

相關(guān)軟件相關(guān)文章發(fā)表評論 來源:本站整理時間:2010/9/1 18:42:55字體大。A-A+

作者:佚名點擊:9次評論:0次標(biāo)簽: IBM Google

  • 類型:源碼相關(guān)大。541KB語言:中文 評分:7.1
  • 標(biāo)簽:
立即下載

IBM上周三(8/25)發(fā)表今年上半年的X-Force趨勢與風(fēng)險報告,統(tǒng)計上半年全球揭露的安全漏洞數(shù)量與修補比例,但卻受到Google方面的質(zhì)疑,IBM也因此立即提出修正。受到質(zhì)疑的部份主要是未修補重大漏洞的數(shù)量及比例。原本的報告指稱Google有33%的重大漏洞未修補。不過,Google調(diào)查后發(fā)現(xiàn),所謂的33%其 實只是3個漏洞中的1個。此外,未被修補的那個并非重大漏洞,而是IBM將堆棧溢位(Stack overflow)臭蟲誤以為是會帶來安全威脅的堆棧緩沖區(qū)溢位(stack buffer overflow)屬于術(shù)語上的誤解。

Google安全專案經(jīng)理Adam Mein指出,安全業(yè)者使用不同的嚴(yán)重等級分類,使得計算漏洞總數(shù)的程序變得困難;此外,若要評估漏洞的嚴(yán)重性或規(guī)模,還是認(rèn)定這只是個臭蟲,有時候需要對該業(yè)者的產(chǎn)品或技術(shù)非常熟悉;并非所有的漏洞數(shù)據(jù)庫編譯器都能獨立驗證其他來源的臭蟲報告,因此,若其中有一個來源的數(shù)據(jù)錯誤,就可能被沿用。

IBM在受到Google的糾正后,也立即更新了有關(guān)未修補重大漏洞的數(shù)量及比例,將Google未修補之重大漏洞的數(shù)量改為0,比例亦更新為0%。

IBM X-Force研究團隊經(jīng)理Tom Cross表示,該團隊審查了每個知名的郵件論壇、安全報告,以及被揭露漏洞的文件,再加上各個漏洞的CVSS評分及修補訊息,上半年該團隊追蹤了近 4500個安全漏洞,可以想像這是個復(fù)雜的任務(wù),因為每個軟件廠商以不同的方式處理安全漏洞,而且現(xiàn)在用來分享相關(guān)資訊的標(biāo)準(zhǔn)極少。

IBM說此次的報告出爐后,他們收到兩家廠商的回應(yīng),并根據(jù)這些回應(yīng)重新手動評估每個漏洞的CVSS評分、修補資訊與廠商所提供的資訊,并更新了未修補漏洞/重大漏洞比例列表。

IBM并未公布是哪兩家廠商提出異議,不過,比較前后兩個列表,有改變的包括Google,重大漏洞未修補比例從33%改為0%,Linux 未修補重大漏洞比例亦自20%改為0%,昇陽自9%降為0%,微軟該比例自11%降為7%,其他廠商的重大漏洞未修補比例則維持不變。另外,IBM也計劃在下周釋出更新后的X-Force完整報告。

    相關(guān)評論

    閱讀本文后您有什么感想? 已有人給出評價!

    • 8 喜歡喜歡
    • 3 頂
    • 1 難過難過
    • 5 囧
    • 3 圍觀圍觀
    • 2 無聊無聊

    熱門評論

    最新評論

    發(fā)表評論 查看所有評論(0)

    昵稱:
    表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
    字?jǐn)?shù): 0/500 (您的評論需要經(jīng)過審核才能顯示)