En senior säkerhetsdirektör hos Symantec har lovat Microsofts ansträngningar att utfärda patchar för säkerhetsproblem i sitt Windows OS, men har avvisat påståenden som i sin tur gör det säkrare.

Symantecs regissör Oliver Friedrichs svarade på en tidigare rapport från Jeff Jones, strategidirektör vid Microsofts säkerhetsteknologienhet. I rapporten sa Jones att Wndows Vista hade drabbat färre sårbarheter under de första 90 dagarna än vad som antingen Linux eller Mac OS X hade under samma period.

Jones sa att bara en bugg hade upptäckts i Windows Vista när den blev utrullad till företag i november, men under samma period hade Windows XP 14 buggar, Mac OS X 10.4 hade 20 buggar, Red Hat gjorde 137 buggar, Ubuntu hade 71 och SuSE noteras 80.

Kommentera rapporten Symantecs Friedrichs sa: "Svårighetsgraden av en sårbarhet spelar också in i det här. En enda sårbarhet som har stor svårighetsgrad kan leda till nästa Sasser- eller Blaster-mask, men ett operativsystem med en större buggräkning men med [ de värderade] mindre höga kan vara bättre defensiva övergripande. "

Dominans plus brister = skada

Friedrichs varnade också för att Microsofts dominans hade en stor roll att spela i de konsekvenser som sårbarheterna hade, helt enkelt på grund av sin dominerande ställning på marknaden:

"En svårighetsgrad sårbarhet kan inte få utbredd exploatering på ett annat operativsystem," sa han. "Det är inte ovanligt. Det minskar självklart inte själva kritiken av sårbarheten. För den leverantörens kundbas utgör den en allvarlig risk, men den övergripande risken för Internet kanske inte är mycket."

Han sa också att det var svårt att verkligen bedöma ett operativsystem på bara 90 dagar, särskilt när Vista endast var tillgängligt för företagsanvändare under den tiden. Företag är mycket mer benägna att ta säkerhet på allvar än hemmabrukarna gör. Symantec säger att 93% av alla utnyttjanden riktar sig till hemanvändare, snarare än företag.

Friedrichs lovordade dock Microsoft för den hastighet som den patched brister i Windows, jämfört med dem som finns i rivaliserande operativsystem. Det tog Microsoft i genomsnitt 21 dagar att patch 39 sårbarheter under andra halvåret 2006, jämfört med 66 dagar för Mac OS X och 58 dagar för Red Hat, enligt en Symantec-rapport.

Numren som spelar roll

Internet Security Report Volume XI har gripits av några tech journalister som bevis för att Windows är ett säkrare operativsystem än sina konkurrenter. Men deras rapporter har tenderat att fokusera på antalet fläckar och den hastighet med vilken de utfärdades, snarare än svårighetsgraden av sårbarheterna själva:

  • Microsoft tog faktiskt längre tid (21 dagar i genomsnitt) för att klistra in sina Windows-sårbarheter under andra halvåret 2006 än i första halvåret (13 dagar)
  • Av de 39 utsatta sårbarheterna ansågs 12 vara hög allvarlighet; 20 medellång svänghet och 7 låg svårahet. Det är värre än under första halvåret när det var bara 5 risker med stor allvar, enligt Symantec
  • Av Red Hat sårbarheter under andra halvåret 2006 betraktades 2 som hög allvarlighet; 130 betraktades som medelstarkhet och 76 var svåra
  • Mac OS X hade en risk för hög allvarlighet; 31 medellånga risker och sex risker med låg allvarlighet

Webappsatser utgör största hotet

Symantec tittade också på hot mot webbläsare. Det upptäckte att ett program - Microsofts Internet Explorer - riktade sig till 77 procent av alla webbläsareattacker. Det sägs också att webbläsare och andra webbapplikationer svarade för 66% av attacker på datorer under andra hälften av 2006. Hackare använder alltmer medelstarka attacker som ett sätt att utnyttja PC-program också. Numren staplas så här:

  • Internet Explorer hade 54 sårbarheter under andra halvåret i fjol; 1 av dessa ansågs vara hög allvarlighet; 13 medium svårighetsgrad och 40 låg svårahet
  • Mozilla-webbläsare (t.ex. Firefox) hade 40 sårbarheter under samma period; 35 av dessa ansågs vara medelstarka och 5 låga svårighetsgrader
  • Opera hade 4 sårbarheter, igen för samma period; 2 ansågs vara medelstark och två låga svårighetsgrader
  • Apples Safari hade 4 sårbarheter, igen för samma period. 2 ansågs vara medelstark och två låga svårighetsgrader