Re: 卡巴斯基: Apple的安全性落後微軟十幾年 - MAC

轉貼 shiming 網友的專業見解
(原文出處 http://www.oikos.com.tw/v4/viewtopic.php?id=72792 )

==============

這個指責其實是在為他們自己炒新聞，Flashback與其他幾個這兩年開始流傳的惡意軟體
，跟Windows病毒的傳染途徑根本不同。

1. 感染途徑：
A. Windows病毒可以從諸如Office檔案(非執行檔)感染電腦，或是只要一個檔案被感染
後，會開始自我複製，搜尋，修改其他本機甚至網路上的執行檔。
B. Mac的惡意軟體是由使用者自行下載，然後點選安裝，還要點選確認去執行，換句話
說，系統的保護措施都還在，並未被繞過，只是使用者確認執行的這個軟體的功能並不是
他會想要的，一旦執行後，系統的其他軟體也不會被修改，或蔓延到其他電腦。

2. 及時修正缺陷?
A. Windows，每個月發佈的安全更新，實際上你根本不知道這個安全問題存在多久了，
Microsoft其實用利誘(簽約合作)，恐嚇(你在我修好前公布我就告你)與安全專家建立關
係。
B. Mac，你點進安全更新的說明，是哪個問題，以提報的編號去查其實查的到發現時間
的，卡巴斯基會這麼講，大概就是Apple不肯用MS的"利誘"方式堵他們的口而已。

再者，這次被質疑的Flashback用的Java漏洞的修復速度，其實對Apple而言並不公平，像
是：

http://news.networkmagazine.com.tw/classification/security/2012/04/18/39103/

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
這項揭露肯定更加深了外界對蘋果公司在建立與釋出Java相關更新速度上的疑問，舉例來
說，根據彭博社新聞的報導，這個Java漏洞最早是由荷蘭軟體工程師Jeroen Frijters在
2011年7月所發現，同時他也將問題立即回報給甲骨文。但是據傳當甲骨文密切與微軟合
作為Windows撰寫修補程式時，蘋果公司卻傾向自行撰寫修正更新，這同時也延長了漏洞
修補程序的時間。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

像是類似的說法，其實根本搞錯了問題的所在，你可以發現這個問題從發現到被解決，
Oracle用了8個月(2月中旬修好的)，MS或其他公司過去面對問題修正的時間常常也在半年
左右(Adobe最誇張，安全問題的修復可以用年來記錄，甚至公布了也不在意)。Apple並不
是要自行撰寫修正的更新，而是Oracle自行開發Windows/Linux/Solaris版的Java
runtime，而偏偏獨漏身為第二大平台的Mac OS，讓Apple必須等Oracle修正完後，才能就
Oracle公布的原始碼去修改自家的分支，一個半月，含修正及測試，其實並不是離譜的事
。

這也是為什麼去年Apple宣布不再自行移植新版的Java runtime，把維護Java runtime的
問題丟回給Oracle的原因，想要推Java，就請認真面對Apple已經不是昔日可以忽略的平
台，沒有理由要Apple投入額外資源替Oracle做這件事。把球丟回Oracle，這樣未來的問
題修正才可以即時。





嗯 .. 話說 Apple 很早以前就想跟 JAVA 分手了，可是它太重要 ....
最後才改以 "不內建，要用請自行下載" 的方式處理

其實近年來 Mac OSX 的漏洞幾乎都是第三方 (大廠) 軟體造成的
它們修得慢，但被罵的是 Apple ....

--