IBM安全报告被Google友情纠正数据

　　受到质疑的部份主要是未修补重大漏洞的数量及比例。原本的报告指称Google有33%的重大漏洞未修补。不过，Google调查后发现，所谓的33%其实只是3个漏洞中的1个。此外，未被修补的那个并非重大漏洞，而是IBM将堆栈溢位(Stack overflow)臭虫误以为是会带来安全威胁的堆栈缓冲区溢位(stack buffer overflow)属于术语上的误解。

　　Google安全专案经理Adam Mein指出，安全业者使用不同的严重等级分类，使得计算漏洞总数的程序变得困难;此外，若要评估漏洞的严重性或规模，还是认定这只是个臭虫，有时候需要对该业者的产品或技术非常熟悉;并非所有的漏洞数据库编译器都能独立验证其他来源的臭虫报告，因此，若其中有一个来源的数据错误，就可能被沿用。

　　IBM在受到Google的纠正后，也立即更新了有关未修补重大漏洞的数量及比例，将Google未修补之重大漏洞的数量改为0，比例亦更新为0%。

　　IBM X-Force研究团队经理Tom Cross表示，该团队审查了每个知名的邮件论坛、安全报告，以及被揭露漏洞的文件，再加上各个漏洞的CVSS评分及修补讯息，上半年该团队追踪了近4500个安全漏洞，可以想像这是个复杂的任务，因为每个软件厂商以不同的方式处理安全漏洞，而且现在用来分享相关资讯的标准极少。

　　IBM说此次的报告出炉后，他们收到两家厂商的回应，并根据这些回应重新手动评估每个漏洞的CVSS评分、修补资讯与厂商所提供的资讯，并更新了未修补漏洞/重大漏洞比例列表。

　　IBM并未公布是哪两家厂商提出异议，不过，比较前后两个列表，有改变的包括Google，重大漏洞未修补比例从33%改为0%，Linux未修补重大漏洞比例亦自20%改为0%，昇阳自9%降为0%，微软该比例自11%降为7%，其他厂商的重大漏洞未修补比例则维持不变。另外，IBM也计划在下周释出更新后的X-Force完整报告。