作者theory (真男人˙希爾瑞)
看板MAC
標題Re: 卡巴斯基: Apple的安全性落後微軟十幾年
時間Fri Apr 27 23:41:59 2012
轉貼 shiming 網友的專業見解
(原文出處
http://www.oikos.com.tw/v4/viewtopic.php?id=72792 )
==============
這個指責其實是在為他們自己炒新聞,Flashback與其他幾個這兩年開始流傳的惡意軟體
,跟Windows病毒的傳染途徑根本不同。
1. 感染途徑:
A. Windows病毒可以從諸如Office檔案(非執行檔)感染電腦,或是只要一個檔案被感染
後,會開始自我複製,搜尋,修改其他本機甚至網路上的執行檔。
B. Mac的惡意軟體是由使用者自行下載,然後點選安裝,還要點選確認去執行,換句話
說,系統的保護措施都還在,並未被繞過,只是使用者確認執行的這個軟體的功能並不是
他會想要的,一旦執行後,系統的其他軟體也不會被修改,或蔓延到其他電腦。
2. 及時修正缺陷?
A. Windows,每個月發佈的安全更新,實際上你根本不知道這個安全問題存在多久了,
Microsoft其實用利誘(簽約合作),恐嚇(你在我修好前公布我就告你)與安全專家建立關
係。
B. Mac,你點進安全更新的說明,是哪個問題,以提報的編號去查其實查的到發現時間
的,卡巴斯基會這麼講,大概就是Apple不肯用MS的"利誘"方式堵他們的口而已。
再者,這次被質疑的Flashback用的Java漏洞的修復速度,其實對Apple而言並不公平,像
是:
http://news.networkmagazine.com.tw/classification/security/2012/04/18/39103/
=======================================
這項揭露肯定更加深了外界對蘋果公司在建立與釋出Java相關更新速度上的疑問,舉例來
說,根據彭博社新聞的報導,這個Java漏洞最早是由荷蘭軟體工程師Jeroen Frijters在
2011年7月所發現,同時他也將問題立即回報給甲骨文。但是據傳當甲骨文密切與微軟合
作為Windows撰寫修補程式時,蘋果公司卻傾向自行撰寫修正更新,這同時也延長了漏洞
修補程序的時間。
=======================================
像是類似的說法,其實根本搞錯了問題的所在,你可以發現這個問題從發現到被解決,
Oracle用了8個月(2月中旬修好的),MS或其他公司過去面對問題修正的時間常常也在半年
左右(Adobe最誇張,安全問題的修復可以用年來記錄,甚至公布了也不在意)。Apple並不
是要自行撰寫修正的更新,而是Oracle自行開發Windows/Linux/Solaris版的Java
runtime,而偏偏獨漏身為第二大平台的Mac OS,讓Apple必須等Oracle修正完後,才能就
Oracle公布的原始碼去修改自家的分支,一個半月,含修正及測試,其實並不是離譜的事
。
這也是為什麼去年Apple宣布不再自行移植新版的Java runtime,把維護Java runtime的
問題丟回給Oracle的原因,想要推Java,就請認真面對Apple已經不是昔日可以忽略的平
台,沒有理由要Apple投入額外資源替Oracle做這件事。把球丟回Oracle,這樣未來的問
題修正才可以即時。
嗯 .. 話說 Apple 很早以前就想跟 JAVA 分手了,可是它太重要 ....
最後才改以 "不內建,要用請自行下載" 的方式處理
其實近年來 Mac OSX 的漏洞幾乎都是第三方 (大廠) 軟體造成的
它們修得慢,但被罵的是 Apple ....
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 119.77.193.81
推 eric7425:專業推 04/27 23:56
推 dosomethnig:推 04/27 23:59
推 superpai:專業 04/28 00:01
→ Jason0813:所以只要不裝新軟體或更新軟體就安全了 那還好 04/28 00:03
→ eric7425:Java如果不是沿用多年換不掉,早就該淘汰掉了 04/28 00:13
推 ducksteven:特別推後半段 04/28 00:17
推 Hollowcorpse:專業推 04/28 00:52
→ jameschen1:其實說穿了就是mac的病毒都是使用者自己安裝上去的 04/28 01:16
推 jamie08012:不裝新軟體不更新...那乾脆說拔掉網路封掉usb就不中毒 04/28 02:27
推 icycandle:推 04/28 03:21
推 SunMoonLake:JAVA寫的木馬似乎趨勢有抓到在mac上可動作的 XD 04/28 06:21
→ SunMoonLake:印象中我看到的程式碼會寄居在/tmp裏面 04/28 06:22
推 SunMoonLake:只能說這就看/tmp的檔案權限設定了 04/28 06:31
推 yutsao:推。很多第三方的軟體真的是漏洞來源啊。 04/28 08:15
推 johnko1987:推專業! 04/28 09:01
推 syant:請問要怎麼關safari的java和flash啊, 有誰可以教一下 04/28 10:56
→ eric7425:Java在工具裡如果你沒裝就是沒有(10.7) 04/28 11:39
→ eric7425:Safari的Adobe Flash沒裝就是沒有 Chrome內建Flash 04/28 11:40
→ eric7425:沒裝的結果就是網頁上部分需要外掛的東西都變成missing 04/28 11:41
→ eric7425:不過Youtube現在有html5和WebM 還是可以用 04/28 11:42
→ eric7425:Flash可以移除 Java如果裝了把Enable 的選項關掉 04/28 11:46
→ eric7425:如果這樣使用會造成你的不便 不要看防毒廣告就好 XD 04/28 11:50
→ timsb:我都沒裝所以連fb影片也開不了呵呵 04/28 16:28
推 turtleknight:卡巴斯基: mac市場夠大了,我想賣防毒軟體了 04/28 18:08
推 ueiyow:我相信你了,專業推! 04/28 18:56
推 jcal:專業推! 04/28 20:00
→ theory:其實 ... Youtube 的 HTML5 版本很爛,還是需要 flash.. 04/29 22:27
推 TuChinJui:萬惡Flash,只有需要時會用Chrome開。 04/29 23:35