Los investigadores del equipo de Google Project Zero han resumido datos sobre los tiempos de respuesta de los fabricantes para descubrir nuevas vulnerabilidades en sus productos. De acuerdo con la política de Google, las vulnerabilidades identificadas por los investigadores de Google Project Zero tienen 90 días para resolverse, además de 14 días adicionales para la divulgación pública que pueden retrasarse previa solicitud. Después de 104 días, la vulnerabilidad se revela incluso si el problema sigue sin solucionarse.
De 2019 a 2021, el proyecto identificó 376 problemas, de los cuales 351 (93.4%) fueron corregidos. 11 (2.9%) vulnerabilidades permanecieron sin solucionar y otros 14 (3.7%) problemas se marcaron como no solucionables (WontFix). A lo largo de los años, ha habido una disminución en la cantidad de vulnerabilidades para las cuales no se han completado los parches dentro del cronograma de desarrollo de parches asignado: en 2021, al 14% se le solicitaron 14 días adicionales para parchear y solo una vulnerabilidad no fue parcheada antes de su divulgación.
Производитель
Número de problemas
Arreglado en 90 días
Corregido en 14 días adicionales
No solucionado dentro del tiempo asignado
Número promedio de días para arreglar
Apple
84
N/A
N/A
N/A
69
Microsoft
80
N/A
N/A
N/A
83
56
N/A
N/A
N/A
44
Linux
25
N/A
N/A
N/A
25
Adobe
19
N/A
N/A
N/A
65
Mozilla
10
N/A
N/A
N/A
46
Samsung
10
N/A
N/A
N/A
72
Oracle
7
N/A
N/A
N/A
109
Otros*
55
N/A
N/A
N/A
44
TOTAL
346
N/A
N/A
N/A
61
En promedio, se necesitaron 2021 días para crear una solución de vulnerabilidad en 52, 2020 días en 54, 2019 días en 67, 2018 días en 80. Las vulnerabilidades se solucionaron más rápidamente en el kernel de Linux: en promedio 15, 22 y 32 días en 2021. , 2020 y 2019. La empresa más lenta en lanzar una solución fue Microsoft, que tardó un promedio de 76, 87 y 85 días en solucionarlo (según la primera tabla con tiempos totales, Oracle fue la más lenta en responder: 109 días en solucionarlo). Apple tardó una media de 64, 63 y 71 días en solucionarlo. En los productos de Google, el tiempo medio de generación de parches por año fue de 53, 22 y 49 días.
Proveedor
Errores en 2019
(promedio de días para arreglar)
Errores en 2020
(promedio de días para arreglar)
Errores en 2021
(promedio de días para arreglar)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Otros*
54 (63)
35 (54)
14 (29)
TOTAL
199 (67)
87 (54)
63 (52)
De los fabricantes de navegadores, las correcciones se generan más rápidamente para Chrome, pero Firefox completa el lanzamiento después de la aparición de la corrección más rápidamente (en Chrome y Safari, una vulnerabilidad ya corregida en el código permanece sin comunicarse a los usuarios durante un mucho tiempo, que es aprovechado por los atacantes).
Chrome
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Total
75
8.8
37.3
46.1
Fuente: opennet.ru