這篇新聞是從我擔任共同作者的「反微軟資訊新聞」來的

裡面提到美國國家網路安全組織研究報告指出:

Unix/Linux系統安全漏洞起碼是微軟Windows三倍以上!

看到這數字有人可能感到驚訝不解;也有微軟支持者會說—看吧!早就說open-source模式只是小孩玩大車。

不過該篇文章作者明白指出,計算方法有嚴重瑕疵!

首先我們可以看一下 CERT列出來的前十個 Unix/Linux上面的安全漏洞:
1.4D WebSTAR Grants Access to Remote Users and Elevated Privileges to Local Users
2.4D WebStar Remote IMAP Denial of Service
3.4D WebStar Tomcat Plugin Remote Buffer Overflow
4.4D WebStar Tomcat Plugin Remote Buffer Overflow (Updated)
5.Abuse Multiple Vulnerabilities
6.Adobe Acrobat Reader mailListIsPdf() Buffer Overflow (Updated)
7.Adobe Acrobat Reader mailListIsPdf() Buffer Overflow (Updated)
8.Adobe Acrobat Reader UnixAppOpenFilePerform Buffer Overflow
9.Adobe Acrobat Reader UnixAppOpenFilePerform Buffer Overflow (Updated)
10.Adobe Reader / Acrobat Arbitrary Code Execution & Elevated Privileges

CERT似乎故意把同樣的問題重複列出來,事實上,在 CERT列出來的 2328個 Unix/Linux安全漏洞當中,有 62%是重複的。另外,CERT列出來的 Unix/Linux安全漏洞當中,絕大部分都是應用軟體的問題,跟作業系統本身並不相關:例如 4D Webstar是一個獨立的網頁伺服器產品,Adobe Acrobat Reader則是大家都熟悉的 PDF文件讀取軟體。

如果再看一下CERT列出來的 Windows安全漏洞,大家會發現 CERT刻意的美化這一邊的數字。例如:在 Unix/Linux這邊,如果有一個安全漏洞同時發生在 Solaris、HP-UX、RedHat Linux、以及 SuSE Linux,CERT就會把它算成是四個安全漏洞。如果 Abode Acrobat Reader版本 5.05、5.06、5.07、5.08、和 5.09都有同樣的問題,CERT也會把它算成有五個漏洞。但是對於 Windows,CERT則是非常寬容。如果有一個安全漏洞同時發生在 Windows 98、Me、2000、XP、…一直到 Windows for Itanium,CERT只會把它算成一個漏洞。

過去 CERT曾經是大家敬重的學術研究單位,看到它發佈的這份報告,只能讓人感嘆金錢的力量實在是無遠弗屆。不久之後大家應該就會看到微軟的廣告,上面寫著:「根據 CERT的統計,Windows比 Unix/Linux安全三倍!」

之前麻州政府資訊官員建議未來政府官方文件,希望能夠陸續全部改成開放格式,以免於被單一廠商把持的困擾,就被親微軟的州議員批評為圖利開放原始碼廠商!

美國文化中,廠商深入政府,透過金錢發揮影響力的陋習其來已久,如果說微軟確實這樣作….實在是符合他們一貫的卑劣商業手法!

雖然說法學理論上有探討到這方面的問題,不過多半很難透過法律來解決。往往不如由消費者群體抵制,更為有效。

只是如同小弟過去的一篇文章「從OpenOffice談選擇的自由」,在資訊世界中被奴化嚴重的消費者們,是否還記得自己曾有「選擇的自由」呢?