CVE脆弱性報告件数ランキング

CVE脆弱性報告件数ランキング

このエントリーは #kosen10s Advent Calendar 2016 23日目のエントリーです。

「あんた今、(BINDにバグがないとかいう)夢を見とるな?」「あっはい」

本編

先日2016年9月にBINDの恐ろしい脆弱性が報告されました。1リクエストでサービスをダウンさせることができるというもので、広範囲のバージョンで確認され、凶悪なものとなっています。

BINDの脆弱性報告を聞くと、「BIND君…… また君か……。脆弱性報告多くないですかね???」という気分に毎回させられます。

でもよくよく考えると他のソフトウェアの脆弱性がどれだけ報告されているのか耳に入ってこないし、比較してないんですよね。

そこで、脆弱性報告ランキングを作成してBIND君の脆弱性報告が多いという体感が本当なのか確認してみたいと思います。

調査方法

CVEのデータを解析し、アプリケーションごとに脆弱性の報告件数をカウントする。

レギュレーション

  • CVEのデータベース NVD から得られるXMLを解析 (ダウンロードページ
  • 危険度(CVSS)が7.0以上のものをカウント
  • アプリケーションのバージョンは考えない
  • 利用したデータの最終更新日:Updated 10/1/2016 3:12:26 AM -04:00 (若干古いが気にしない)
  • 範囲 2014-2016
  • 集計には自作のRubyスクリプトを使用 (Gist)

では、ここから脆弱性報告件数ランキングの発表です。ぜひ上位3つを予想してみてください。

 脆弱性報告件数ランキング BEST 30

Rank Application Vendor Point
30 Apple TV Apple 97
29 Linux Linux 99
28 Windows RT Microsoft 108
27 Windows 10 Microsoft 112
26 Firefox Extended Support Release Mozilla 113
25 Adobe Reader Adobe 118
24 Windows 8 Microsoft 119
23 openSUSE NOVELL 148
22 Debian Debian 155
21 Adobe Acrobat Reader Adobe 161
20 Windows RT 8.1 Microsoft 163
19 Firefox Mozilla 164
18 iOS Apple 167
17 Ubuntu Canonical 172
16 Windows Vista Microsoft 173
15 Windows 7 Microsoft 183
14 Windows 8.1 Microsoft 184
13 Windows Werver 2012 Microsoft 184
12 Windows Server 2008 Microsoft 186
11 Google Chrome Google 209
10 Adobe Acrobat Reader DC Adobe 216
9 Adobe Acrobat DC Adobe 216
8 Adobe AIR SDK & Compiler Adobe 257
7 Adobe Acrobat Adobe 277
6 Adobe AIR Adobe 307
5 Adobe AIR SDK Adobe 313
4 Android Google 359

3rd

OS X

Apple, 368 points

2nd

Internet Explorer

Microsoft, 478 points

1st

Adobe Flash Player

Adobe, 577 point

あれ? BIND君はどこに行ったのでしょう?

172th

BIND

7 points

なお、この集計に該当するアプリケーション数は 2666 アプリケーションでした。

まとめ

思い出してみるとFlash Playerの脆弱性はよく聞きますし、凶悪なものが多いのは確かです。結局BINDは172位という少なめの結果に終わりました。

Flash Playerが多数の脆弱性を持っていることを再確認しましたが、改めてHTML5に全面移行してほしいと思いますね。一方で、一部界隈ではFlashのアプリケーションが未だ健在だったりして、闇を感じます…… (かんこれとか、TRPG界隈のどどんとふとか……)

改めてまとめると

  • BINDの脆弱性報告件数はそれほど多くない
  • ただしBINDの脆弱性内容はヤバい
  • Flash Playerはヤバい
  • Flash Playerはヤバい(大事なことなので2回言いました)
  • やはり、脆弱性報告件数よりも個々の脆弱性の内容が重要

以上です。ありがとうございました。

おまけ

このネタは以前の kosen10s LT で使ったネタでした。発表で使ったスライドも載せておきます。