Firefox, iTunes及Skype最危險?
Published by Chainsaw June 22nd, 2006 in Odds and Ends, Pitfall.
據CRN報道,在企業環境的電腦上,任由員工安裝軟件,可以是一個嚴重的保安問題。該報道引述一份來自一家研究電腦保安問題的公司,指出有十五款常見的軟件,有最多的保安漏洞,頭三位分別是Firefox、iTunes及Skype。
就此報告,我有兩點質疑。第一點,為何Internet Explorer不會算入列表當中呢?是不是另外安裝的軟件就沒有保安漏洞?第二點,其實發現愈多保安漏洞不是更好嗎?即代表有更多人去試用這些軟件,再進行改善。有些軟件十年都找不到一個保安漏洞,不是代表沒有保安漏洞,只是沒有人願意去找。另外,就算有保安漏洞,最重要的是有沒有修補、怎樣去修補和何時修補。這三條問題,那份報告都沒有涉及。
这篇有点断章取义了,FF所指的我记得还是1.07版本的,现在这三大软件,包括quicktime,aol等都已经出具了对应的补丁。所以此评价在目前拿出来说是有点过时的。。。就像现在讨论windows中冲击波一样。。。
Bit9称,通用漏洞披露(CVE)数据库显示,Firefox 1.0.7至少有5个漏洞,因而名列这次排行榜首位。苹果的iTunes 6.02和QuickTime 7.0.3共同位居第二。排行第三到第十五的漏洞软件分别是:
3. Skype 1.4
4. Adobe Acrobat Reader 7.02, 6.03
5. Sun Java Run-Time Environment (JRE) 50, Update 3, JRE 1.4.2_.08
6. Macromedia Flash 7
7. WinZip 8.1 SR-1
8. AOL Instant Messenger 5.5
9. Microsoft Windows/MSN Messenger 5.0
10. Yahoo Instant Messenger 6.0
11. Sony/First4 Internet DRM rootkit and uninstaller
12. BitDefender 9
13. Kazaa 2.0.2
14. RealPlayer 10
15. ICQ 2003a
Bit9还表示,在上述15款漏洞软件中,11款已发布了升级版或安全补丁,但Yahoo Instant Messenger 6.0、Sony/First4、Kazaa 2.0.2和ICQ 2003a仍没有相应安全补丁。Bit9还提出建议,各企业用户应对计算环境进行一次全面检查,以确定哪些应用软件应该删除,并确保使用那些已消除了漏洞隐患的应用程序。
IE6.0: 87個 http://secunia.com/product/11/
Firefox 1.x: 33個 http://secunia.com/product/4227/
在企業中,不是每個員工都會及時更新software…就算版本低,都可能仲有好多人用緊
因為此文章是說員工(自行安裝)的軟件,而Internet Explorer是不需要自行安裝的Orz
FF,quicktime,itunes都是自动更新的。如果一个用户有能力关闭自动更新,其操作水平很难说不会去自己升级。如果一个用户不能上网更新,那这些漏洞其实根本没有影响。。。