Bewertung der Reaktionsgeschwindigkeit bei der Behebung von Schwachstellen, die von Google Project Zero entdeckt wurden

Forscher des Google Project Zero-Teams haben Daten zur Reaktionszeit von Herstellern auf die Identifizierung neuer Sicherheitsanfälligkeiten in ihren Produkten zusammengefasst. Laut der Richtlinie von Google haben die Hersteller 90 Tage Zeit, um Sicherheitsanfälligkeiten, die von den Forschern des Google Project Zero festgestellt wurden, zu beheben. Zusätzlich kann die öffentliche Bekanntgabe auf Anfrage um 14 Tage verschoben werden. Nach 104 Tagen werden Informationen über die Sicherheitsanfälligkeit veröffentlicht, auch wenn das Problem weiterhin ungelöst ist.

Von 2019 bis 2021 hat das Projekt 376 Probleme festgestellt, von denen 351 (93,4 %) behoben wurden. 11 (2,9 %) Sicherheitsanfälligkeiten blieben ohne Behebung, und weitere 14 (3,7 %) Probleme wurden als nicht behebbar gekennzeichnet (WontFix). Im Laufe der Jahre wurde ein Rückgang der Anzahl von Sicherheitsanfälligkeiten beobachtet, deren Behebung nicht innerhalb des vorgegebenen Zeitrahmens erfolgen konnte — im Jahr 2021 wurde für 14 % zusätzliche 14 Tage zur Behebung angefordert, und nur eine Sicherheitsanfälligkeit blieb bis zur Offenlegung ungeklärt.

Hersteller

Anzahl der Probleme

Innerhalb von 90 Tagen behoben

Innerhalb von zusätzlichen 14 Tagen behoben

Innerhalb der vorgegebenen Zeit nicht behoben

Durchschnittliche Anzahl von Tagen bis zur Behebung

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

Microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

Google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Oracle

7

3 (43%)

0 (0%)

4 (57%)

109

Sonstiges*

55

48 (87%)

3 (5%)

4 (7%)

44

GESAMT

346

294 (84%)

34 (10%)

18 (5%)

61

Im Durchschnitt benötigte die Beseitigung von Sicherheitsanfälligkeiten im Jahr 2021 52 Tage, 2020 waren es 54 Tage, 2019 67 Tage und 2018 80 Tage. Die schnellsten Korrekturen wurden im Linux-Kernel durchgeführt – im Durchschnitt 15, 22 und 32 Tage in den Jahren 2021, 2020 und 2019. Am langsamsten war die Reaktionszeit von Microsoft, wo die Beseitigung durchschnittlich 76, 87 und 85 Tage benötigte (laut der ersten Tabelle war Oracle mit 109 Tagen die trägste Firma). Bei Apple benötigte die Behebung im Durchschnitt 64, 63 und 71 Tage. Bei Google-Produkten betrug die durchschnittliche Zeit zur Beseitigung der Sicherheitsanfälligkeiten über die Jahre hinweg 53, 22 und 49 Tage.

Anbieter

Fehler im Jahr 2019

(Durchschnittliche Tage zur Behebung)

Fehler im Jahr 2020

(Durchschnittliche Tage zur Behebung)

Fehler im Jahr 2021

(Durchschnittliche Tage zur Behebung)

Apple

61 (71)

13 (63)

11 (64)

Microsoft

46 (85)

18 (87)

16 (76)

Google

26 (49)

13 (22)

17 (53)

Linux

12 (32)

8 (22)

5 (15)

Sonstiges*

54 (63)

35 (54)

14 (29)

GESAMT

199 (67)

87 (54)

63 (52)

Unter den Browseranbietern werden die Korrekturen für Chrome am schnellsten erstellt, jedoch erfolgt die Veröffentlichung nach dem Erscheinen der Korrektur schneller bei Firefox (in Chrome und Safari bleibt eine bereits im Code behobene Sicherheitsanfälligkeit oft lange unberührt, was von Angreifern ausgenutzt wird).

Browser Anzahl der Probleme Durchschnittliche Zeit in Tagen von der Benachrichtigung über das Problem bis zur Veröffentlichung des Fixes Durchschnittliche Zeit von der Patch-Veröffentlichung bis zur Produkteinführung Durchschnittliche Zeit von der Benachrichtigung über die Schwachstelle bis zur Veröffentlichung mit Fix

Chrome

40

5.3

24.6

29.9

WebKit

27

11.6

61.1

72.7

Firefox

8

16.6

21.1

37.8

Insgesamt

75

8.8

37.3

46.1



Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster