MS: 'Sun en Novell verstoppen hun bugs'
Gepubliceerd: Vrijdag 17 augustus 2007
Auteur: Edmond Varwijk
Windows is volgens eigen onderzoek van Microsoft het veiligste besturingssysteem voor zowel server als cliënt. Het bedrijf verwijt Sun en Novell onvoldoende openheid over bugs en updates.
Directeur Jeff Jones van de Microsoft Security Group verricht regelmatig onderzoek naar de kwetsbaarheden in alle bekende server- en cliënt-besturingssystemen zoals Windows, Red Hat Enterprise Linux, Novell Linux, Apple Max OS X en Sun Solaris.
Jones kijkt daarbij altijd naar het aantal uitgebrachte patches voor ieder besturingssysteem en de zogeheten 'days of risk', het aantal dagen tussen het bekend worden van een kwetsbaarheid en het moment dat er een update voor beschikbaar is. Jones meet daarmee naar eigen zeggen zowel de mate van veiligheid van ieder besturingssysteem als de inspanning van de maker van het OS om bekend geworden problemen op te lossen.
In zijn nieuwste onderzoek vergelijkt Jones zowel Windows XP als Windows Vista. De laatste is volgens Jones veruit het veiligste besturingssysteem met de minste patches, in totaal slechts 20. Goede tweede is Windows XP met iets meer dan 30 kwetsbaarheden. Alle andere cliënt-besturingssystemen scoren volgens Jones meer dan 100 kwetsbaarheden, Red Hat Enterprise Linux Desktop 5 is daarvan de beste met iets meer dan 120.
Beter dan Linux
Opvallend volgens Jones is dat Windows zelfs veel beter scoort dan een Linux-installatie waarbij met het oog op veiligheid niet-noodzakelijke onderdelen zijn weggelaten. Jones zegt voor deze score de bugs in onderdelen als GUI, X11, Gnome, KDE, Firefox en alle overige cliënt-onderdelen te hebben weggelaten, zodat slechts een minimalistische server over bleef die voor weinig meer geschikt is dan als basic-webserver dienst te doen.
Volgens Jones 'zouden velen verwacht hebben dat een dergelijke gestripte versie van Linux minder beveiligingsproblemen zou hebben dan Windows, of op zijn minst minder ernstige', maar beide is in de telling van Jones niet het geval. Jones voegt er fijntjes aan toe dat 'Windows Server wel komt met alle onderdelen zoals Internet Explorer en Media Player'.
Verstoppen
Opvallend is dat Jones in zijn nieuwste onderzoek Sun Solaris buiten beschouwing laat. Volgens Jones is het in tegenstelling tot vorige keren, niet meer mogelijk de benodigde informatie over bugs en updates voor dit besturingssysteem van de Sun-website te halen. 'Sun heeft zijn Security Alerts-website veranderd en niet ten goede' aldus Jones. Jones is gestopt met zoeken en zegt Solaris weer mee te nemen in de tellingen zodra het bedrijf de informatie weer publiceert.
Ook Novell krijgt van Jones kritiek. Aanvankelijk kon Jones geheel geen updates van na de datum 19 juni vinden. Ook Novell had namelijk de website aangepast en het bedrijf stelt bovendien als eis dat gebruikers eerst updaten naar servicepack 1 voor SuSE Linux Enterprise Server 10. Alleen voor die versie levert Novell nog updates.
Augustus
De rapportage van Jones richt zich op de periode tot en met juli. De door Microsoft in Augustus vrijgegeven updates voor Vista, zijn dan ook niet meegenomen.
Novell en Sun zijn om een reactie gevraagd op de kritiek die zij krijgen van Jones, maar waren nog niet in staat te reageren.
