Liberatum.ru

Группа исследователей из цюрихского ETH, Федерального технологического института, представила разработанную ими модель для оценки безопасности операционных систем. По новой методике учитывается не только количество и критичность дыр в ОС, но определяется важный параметр, условно именуемый "показатель патчей нулевого дня". Этот параметр свидетельствует о способности разработчика выпускать заплатку на брешь в тот же день, когда об уязвимости становитсяизвестно. Чтобы оценки были максимально объективными, исследователи собирали данные из множества независимых источников, включая Secunia, Milw0rm, OSVDB (Open Source Vulnerability Database) и NVD (National Vulnerability Database).

Один из самых любопытных результатов, полученных с помощью новой метрики "патч 0−дня", - это зримая демонстрация того, сколь ощутимо корпорация Apple отстает ныне от Microsoft в деле латания дыр. Более того, аналитические данные и графики свидетельствуют, что Apple продолжает двигаться не в том направлении: уязвимости множатся, время латания возрастает и т. д. Нельзя сказать, что для экспертов столь унылый вывод стал открытием - о неблагополучной ситуации с защитой программ Apple много говорят по меньшей мере с начала 2007 года. Теперь же картину подкрепили убедительной метрикой. Как прокомментировал ситуацию один из аналитиков, похоже, что в Apple по сию пору относятся к сообщению о каждой новой уязвимости как к потенциальной пиар−катастрофе, а не как к возможности усилить позиции в деле защиты своих клиентов. Ярчайшая тому иллюстрация - практически полное отсутствие конструктивного диалога между независимыми исследователями и подразделением инфобезопасности Apple.