mercoledì 23 gennaio 2008

Windows Vista: rapporto sulle vulnerabilità nel suo primo anno


Qualche giorno fa, è stato pubblicato il tanto atteso report, sulle vulnerabilità emerse durante il primo anno di Windows Vista. Il rapporto, redatto da Jeff Jones, segue i primi due resoconti, il primo relativo ai primi 90 giorni ed il secondo relativo ai primi sei mesi.

Il documento è suddiviso in due parti: nella prima si confronta Windows Vista con il suo predecessore, Windows XP; nel secondo, Vista viene confrontato con i dati relativi al loro primo anno di vita di altri sistemi operativi: lo stesso Windows XP, Red Hat RL4WS, Ubuntu 6.06 LTS e Apple Mac OS X 10.4.

Cercherò di riassumere brevemente i risultati di questi analisi per poi porre qualche interrogativo.

  • Windows Vista vs Windows XP. Durante il primo anno, di Windows XP, sono state rilasciate 30 patch (o meglio, 30 bollettini di sicurezza) in 26 giorni diversi per correggere 65 vulnerabilità. Per Windows Vista invece si parla di 9 patch (17 bolletini, raggruppati in 9 patch) per 36 vulnerabilità.
    Inoltre, in Windows XP sono stati corretti 68 bachi e non corretti 54 nel suo primo anno. Per Windows Vista 36 corretti, 30 non corretti.
  • Windows Vista vs altri sistemi operativi. Secondo il rapporto si Jones, Vista si è dimostrato più sicuro non solo rispetto a XP, ma anche rispetto Red Hat EL4WS, Ubuntu 6.06 LTS e Apple Mac OS X 10.4.

A questo punto, però, sopratutto i detrattori di Windows e dell’obiettività del report potrebbero porre alcuni interrogativi.

Minor numero di bachi è sinonimo di maggior sicurezza? Non è la quantità di bachi che rende un sistema più sicuro: ne basterebbe anche uno, enorme, ma grave per mettere in discussione la sicurezza del sistema.

Qualcun altro potrebbe reputare più significativo valutare anche la questione Days-of-Risk, ossia il numero di giorni che passano da quando una vulnerabilità viene scoperta a quando viene rilasciata la patch per correggerla.

Il rapporto è sicuramente ricco di spunti di riflessione. Io ne ho evidenziati due, voi cosa ne pensate?

Posta un commento