Forscher des Google Project Zero-Teams haben Daten zu den Reaktionszeiten von Herstellern zusammengefasst, um neue Schwachstellen in ihren Produkten zu entdecken. Gemäß den Richtlinien von Google haben Forscher des Google Project Zero eine Frist von 90 Tagen für die Behebung von Schwachstellen. Auf Anfrage kann die Veröffentlichung um weitere 14 Tage verzögert werden. Nach 104 Tagen wird die Schwachstelle offengelegt, auch wenn das Problem weiterhin besteht.
Von 2019 bis 2021 identifizierte das Projekt 376 Probleme, von denen 351 (93.4 %) behoben wurden. 11 (2.9 %) Schwachstellen blieben unfixiert und weitere 14 (3.7 %) Probleme wurden als nicht reparierbar (WontFix) markiert. Im Laufe der Jahre ist die Zahl der Schwachstellen, für die Patches nicht innerhalb des zugewiesenen Zeitrahmens für die Patch-Entwicklung abgeschlossen werden, zurückgegangen – im Jahr 2021 wurden 14 % um weitere 14 Tage für das Patchen gebeten und nur eine Schwachstelle wurde vor der Veröffentlichung nicht gepatcht.
Hersteller
Anzahl der Probleme
In 90 Tagen behoben
In weiteren 14 Tagen behoben
Nicht innerhalb der vorgegebenen Zeit behoben
Durchschnittliche Anzahl der Tage zur Reparatur
Apple
84
73 (87%)
7 (8%)
4 (5%)
69
Microsoft
80
61 (76%)
15 (19%)
4 (5%)
83
56
53 (95%)
2 (4%)
1 (2%)
44
Linux
25
24 (96%)
0 (0%)
1 (4%)
25
Adobe
19
15 (79%)
4 (21%)
0 (0%)
65
Mozilla
10
9 (90%)
1 (10%)
0 (0%)
46
Samsung
10
8 (80%)
2 (20%)
0 (0%)
72
Oracle
7
3 (43%)
0 (0%)
4 (57%)
109
Andere*
55
48 (87%)
3 (5%)
4 (7%)
44
INSGESAMT
346
294 (84%)
34 (10%)
18 (5%)
61
Im Jahr 2021 dauerte die Behebung einer Schwachstelle durchschnittlich 52 Tage, im Jahr 2020 54 Tage, im Jahr 2019 67 Tage und im Jahr 2018 80 Tage. Am schnellsten wurden Schwachstellen im Linux-Kernel behoben – durchschnittlich 15, 22 und 32 Tage im Jahr 2021 , 2020 und 2019. Das am langsamsten veröffentlichte Unternehmen war Microsoft, das durchschnittlich 76, 87 und 85 Tage für die Behebung benötigte (laut der ersten Tabelle mit Gesamtzeiten reagierte Oracle am langsamsten – 109 Tage für die Behebung). Apple brauchte durchschnittlich 64, 63 und 71 Tage für die Behebung. In Google-Produkten betrug die durchschnittliche Zeit zum Generieren von Patches pro Jahr 53, 22 und 49 Tage.
Verkäufer
Bugs im Jahr 2019
(durchschnittliche Tage zur Behebung)
Bugs im Jahr 2020
(durchschnittliche Tage zur Behebung)
Bugs im Jahr 2021
(durchschnittliche Tage zur Behebung)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Andere*
54 (63)
35 (54)
14 (29)
INSGESAMT
199 (67)
87 (54)
63 (52)
Von den Browser-Herstellern werden Fixes für Chrome am schnellsten generiert, die Veröffentlichung nach Erscheinen des Fixes wird jedoch von Firefox schneller abgeschlossen (in Chrome und Safari bleibt eine bereits im Code behobene Schwachstelle den Benutzern eine Zeit lang nicht mitgeteilt). lange Zeit, die von Angreifern ausgenutzt wird).
Chrome
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Gesamt
75
8.8
37.3
46.1
Source: opennet.ru