Forscher des Google Project Zero-Teams haben Daten zur Reaktionszeit von Herstellern auf die Identifizierung neuer Sicherheitsanfälligkeiten in ihren Produkten zusammengefasst. Laut der Richtlinie von Google haben die Hersteller 90 Tage Zeit, um Sicherheitsanfälligkeiten, die von den Forschern des Google Project Zero festgestellt wurden, zu beheben. Zusätzlich kann die öffentliche Bekanntgabe auf Anfrage um 14 Tage verschoben werden. Nach 104 Tagen werden Informationen über die Sicherheitsanfälligkeit veröffentlicht, auch wenn das Problem weiterhin ungelöst ist.
Von 2019 bis 2021 hat das Projekt 376 Probleme festgestellt, von denen 351 (93,4 %) behoben wurden. 11 (2,9 %) Sicherheitsanfälligkeiten blieben ohne Behebung, und weitere 14 (3,7 %) Probleme wurden als nicht behebbar gekennzeichnet (WontFix). Im Laufe der Jahre wurde ein Rückgang der Anzahl von Sicherheitsanfälligkeiten beobachtet, deren Behebung nicht innerhalb des vorgegebenen Zeitrahmens erfolgen konnte — im Jahr 2021 wurde für 14 % zusätzliche 14 Tage zur Behebung angefordert, und nur eine Sicherheitsanfälligkeit blieb bis zur Offenlegung ungeklärt.
Hersteller
Anzahl der Probleme
Innerhalb von 90 Tagen behoben
Innerhalb von zusätzlichen 14 Tagen behoben
Innerhalb der vorgegebenen Zeit nicht behoben
Durchschnittliche Anzahl von Tagen bis zur Behebung
Apple
84
73 (87%)
7 (8%)
4 (5%)
69
Microsoft
80
61 (76%)
15 (19%)
4 (5%)
83
56
53 (95%)
2 (4%)
1 (2%)
44
Linux
25
24 (96%)
0 (0%)
1 (4%)
25
Adobe
19
15 (79%)
4 (21%)
0 (0%)
65
Mozilla
10
9 (90%)
1 (10%)
0 (0%)
46
Samsung
10
8 (80%)
2 (20%)
0 (0%)
72
Oracle
7
3 (43%)
0 (0%)
4 (57%)
109
Sonstiges*
55
48 (87%)
3 (5%)
4 (7%)
44
GESAMT
346
294 (84%)
34 (10%)
18 (5%)
61
Im Durchschnitt benötigte die Beseitigung von Sicherheitsanfälligkeiten im Jahr 2021 52 Tage, 2020 waren es 54 Tage, 2019 67 Tage und 2018 80 Tage. Die schnellsten Korrekturen wurden im Linux-Kernel durchgeführt – im Durchschnitt 15, 22 und 32 Tage in den Jahren 2021, 2020 und 2019. Am langsamsten war die Reaktionszeit von Microsoft, wo die Beseitigung durchschnittlich 76, 87 und 85 Tage benötigte (laut der ersten Tabelle war Oracle mit 109 Tagen die trägste Firma). Bei Apple benötigte die Behebung im Durchschnitt 64, 63 und 71 Tage. Bei Google-Produkten betrug die durchschnittliche Zeit zur Beseitigung der Sicherheitsanfälligkeiten über die Jahre hinweg 53, 22 und 49 Tage.
Anbieter
Fehler im Jahr 2019
(Durchschnittliche Tage zur Behebung)
Fehler im Jahr 2020
(Durchschnittliche Tage zur Behebung)
Fehler im Jahr 2021
(Durchschnittliche Tage zur Behebung)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Sonstiges*
54 (63)
35 (54)
14 (29)
GESAMT
199 (67)
87 (54)
63 (52)
Unter den Browseranbietern werden die Korrekturen für Chrome am schnellsten erstellt, jedoch erfolgt die Veröffentlichung nach dem Erscheinen der Korrektur schneller bei Firefox (in Chrome und Safari bleibt eine bereits im Code behobene Sicherheitsanfälligkeit oft lange unberührt, was von Angreifern ausgenutzt wird).
Chrome
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Insgesamt
75
8.8
37.3
46.1
Quelle: opennet.ru
