蘋果神主牌崩壞了嗎?Mac OS X 登 2015 年漏洞數量第一名

654。這個數字是蘋果在過去一年收穫的漏洞總數。根據安全數據網站 CVEDetails 最新公佈的數據,蘋果拿下了 2015 年漏洞之王的桂冠,第二名則歸屬微軟,這個曾經蟬聯 11 年漏洞榜冠軍的貨以 571 個漏洞緊隨其後。

(圖片來源:paz.ca

TO 導讀:這樣的數字並無法提供有力的證據以證明 Mac OS X 與 iOS 是最不安全的兩個作業系統,因為它只列出了漏洞數量,並未特別說明這漏洞有多嚴重。試想前些日子傳出 Linux 連按 28 下 Backspace 就可以入侵系統的 Bug,這樣的大漏洞在這個統計上也只不過是增加一個漏洞數量;另外,這個排行榜將作業系統、程式、瀏覽器,甚至瀏覽器插件等等都放在一起評比,也不是一個嚴謹的排名方法。

  • 蘋果以 654 個漏洞位列 2015 年漏洞榜榜首

這世界上每個漏洞都有一個名字,是由業內官方組織 CVE 編輯部標定的。每個漏洞的名字都以 CVE 開頭,後面跟上一串謎一樣的數字,以保證這個漏洞的獨一無二。

所以,在 2015 年一年的時間,蘋果就為這個世界貢獻了 654 個“CVE”。從統計數據來看,這些漏洞裡包括「拒絕服務」、「繞過」、「溢出」、「可執行代碼」等等各種攻擊姿勢。任何一種攻擊都可以造成蘋果的系統出現紊亂。如果幾種攻擊結合起來,就可以實現提取用戶信息,掌握用戶權限等操作。著名的“越獄”就是靠一連串精巧的漏洞配合實現的。

蘋果歷年漏洞數量柱狀圖

讓我們憑弔一下那個純潔的蘋果吧,在 2000 年的時候,蘋果只爆出 4 個漏洞,而在 2014 年,蘋果的漏洞也只有 288 個,今年居然墮落到了比微軟還要“千瘡百孔”的地步。平均下來,每天蘋果就會爆出大約 1.8 個漏洞。如果查看漏洞歷史總榜單,可以發現:微軟以 4243 個漏洞排名總榜首,蘋果經過 2015 年的奮起直追已經以 3087 個漏洞排名第二。然而微軟的漏洞是分佈在 405 個產品中,而蘋果的漏洞分佈在 105 個產品中,平均每個產品 29 個漏洞,遠超微軟的 10 個。

各公司漏洞總榜單,右側為平均每個產品含有的漏洞數

從這些真實的數據來看,如果說蘋果的產品比微軟的安全,似乎找不到證據。雷鋒網專門採訪了國內知名蘋果安全研究團隊的核心大咖,其表示:從業內角度來講,蘋果的安全性並不比微軟更高,只是因為之前蘋果的用戶和研究人員都比較少。隨著蘋果的用戶大幅增長,安全研究人員也增加了很多,所以今年蘋果的漏洞出現了爆發。

不過,榮登漏洞榜榜首同樣並不意味著蘋果的安全性很差。該位大咖分析了其中的奧秘:

1. 每個公司對漏洞的定義都不一樣,有的公司被研究人員上報 5 個漏洞,但它可能覺得其中 3 個觸發情景差不多,就合併算作一個漏洞;有的公司就比較慷慨,可以算你 5 個。而蘋果應該是比較慷慨的公司。

2. Windows 之類的系統在前幾年都是關注重點,漏洞被挖掉不少,所以數量上比較穩定了。而蘋果系統是在近期才被全面研究的,這就造成蘋果的某些組件漏洞確實比現在的 windows 要多一點,但這些主要是老的遺留問題。因為 OSX 的歷史比 Windows 還長,所以現在挖出的漏洞也許是蘋果 10 年前寫的代碼。

3. 之前對於蘋果的研究由於人員較少,所以沒有覆蓋所有領域。例如很多人關注瀏覽器安全,但是鮮有人關注藍牙驅動方面。

看來,蘋果系統只是一個平凡的系統。雖然它很漂亮也很順滑,但是事實證明它並不比其他小伙伴安全。還好,當這 654 個漏洞被修復,就讓我們每個人少了 654 個威脅。如此說來,希望安全研究人員在 2016 年可以找到更多的「蘋果洞」。

(本文轉自 雷峰網 ;原文作者: 史中·方槍槍 ;未經授權,不得轉載)