>
MENU
php.gif

PHP e GIF: exploit possibile

Il networking stack di Linux

22 giugno 2007 Visualizzazioni: 425 NetSec

Microsoft: le nostre patch arrivano prima delle altre

Stando alle solite dichiarazioni della Microsoft, le patch che risolvono i diversi problemi di sicurezza di un determinato software o sistema operativo sono fornite molto più velocemente dalla stessa società di casa Redmond che dai più diretti avversari: Apple, Novell, Red Hat e Sun.


Jeff Jones, direttore strategico dell’unità di sicurezza della Microsoft, ha pubblicato un articolo sul blog di CSO riguardante la celerità con cui i ragazzi della Microsoft forniscono le varie patch per vulnerabilità presenti all’interno dei propri applicativi. In modo particolare le patch di Microsoft arrivano anche più velocemente rispetto a quelle fornite dalla Apple, da Novell, Red Hat o Sun.

Nell’articolo vengono esaminati i “days-of-risk” (DoR), cioè il tempo che intercorre dalla scoperta di una vulnerabilità alla sua risoluzione. Secondo i calcoli di Jones, Windows, in tutte le sue versioni, ha avuto lo scorso anno un DoR medio inferiore ai 29 giorni, comparato ai 46 giorni di Mac OS X, ai 74 di Suse Linux Enterprise, ai 107 di Red Hat Enterprise Linux e ai ben 168 di Sun Solaris. Questi dati rendono di circa il 159% la Microsoft più veloce a tappare i vari buchi di sicurezza rispetto alla Apple, 255% più veloce rispetto a Novell e 579% più veloce della Sun.

Quando Jones ha affrontato la questione singolarmente, analizzando solo determinate versione dei sistemi operativi delle società interessate, la Microsoft ha continuato a far prevalere il suo DoR, seppur con percentuali ben più basse.

La Symantec, società leader nel campo della sicurezza informatica, tramite un suo esponente, Alfred Huger, ha fatto sapere che i dati forniti da Jones sono accurati ed affidabili, dunque nessun FUD questa volta. E’ tutta realtà.

Cosa ne pensate?

twittergoogle_pluslinkedinmail
  • http://marco.boneff.ch Raideiin

    beh d’altronde microsoft a tappare i buchi ha una “certa expertise”

  • luca

    E i programmatori sono ben pagati.. non so se mi spiego

  • http://culturalheritage.wordpress.com shaitan

    basta scegliere ad hoc i componenti analizzati e i dati da evidenziare e si può affermare tutto e il contrario di tutto

  • http://www.gnulinux-info.it cga

    ah beh….. se lo dice M$ e lo afferma Symantec non c’è che dire…. è fuor di dubbio la realtà…. -.-

  • Matte

    Credo semplicemente che Jeff Jones sia un bugiardo
    (vedere http://vincos.spaces.live.com/blog/cns!1BE30B71856FFF9D!2894.entry per credere, e chi restasse scettico vada pure a controllare su http://secunia.com/ ….)

  • Lke

    symantec di mezzo, c’è altro da dire?
    cioè, non so se rendo, è una società che ha ammesso l’esistenza di problemi stravecchi come sql injection un anno fa!!

    inoltre, fatevi un giro su security focus e simili, vediamo chi ha la finestra maggiore di tempo per la patch…

    che cazzata.

  • Alekos

    Servirebbe anche un’altro dato, che però è difficile da ottenere: quanti giorni intercorrono tra il rilascio del codice, l’individuazione del bug e la sua risoluzione?
    Capisco che dei programmatori pagati possano rimediare tempestivamente, ma quano rapidamente una logica closed permette di individuarle, quelle falle?

  • Giuseppe

    Ehm, peccato che non vi sia Mozilla, Debian, ed altre.
    Per le patches di Firefox NON attendi 29gg, o sbaglio?

  • Filippo Santovito

    Non sono d’accordo. Questi test confrontano sistemi operativi con differente dotazione software installata. Nel conteggio di bug per linux vengono contati bug di software opzionale e upstream rispetto al distributore. In ogni caso analizzando i fatti e considerando che per ms vengono conteggiati solo i bug del loro sistema operativo senza software aggiuntivo anche una settimana è troppo per avere un security fix.
    Alla fine gira e rigira sempre di FUD si tratta solo che tentano di mascherarli un po meglio… se invece di Jeff Jones l’articolo l’avesse pubblicato steve ballmer ci sarebbero stati toni molto più forti e il FUD sarebbe stato subito riconoscibile.

  • Alex

    Seeesssseee, e poi c’era la marmotta che confezionava la cioccolata
    http://trenca.altervista.org/Images/GIF/martorina.gif

  • domenico

    per forza windows e un emmental è pieno di buchi, e ci mancherebbe altro visto il prezzo!! cmq rimangono sempre più sicuri gli altri o.s.

  • Bebuzzo

    Microzoz è la più veloce a tirar fuori patch che “tappano i buchi” più velocemente degli altri…ma non dice quanti buchi ha il suo winzoz rispetto agli altri S.O. …o sbaglio?

  • papageno

    non mi sembra un indice di affidabilità, piuttosto l’esatto contrario : M$ ha sempre commercializzato software che avrebbe dovuto essere distribuito come beta o adirittura alfa, e quindi le patch arrivano prima perchè gli sviluppatori stavano già lavorando sui bugs