Pesquisadores da equipe do Google Project Zero compilaram dados sobre os tempos de resposta dos fornecedores a novas vulnerabilidades em seus produtos. De acordo com a política do Google, as vulnerabilidades identificadas pelos pesquisadores do Google Project Zero são corrigidas em até 90 dias, com a divulgação pública podendo ser estendida por mais 14 dias mediante solicitação. Após 104 dias, as informações sobre a vulnerabilidade são divulgadas mesmo que o problema permaneça sem correção.
De 2019 a 2021, o projeto identificou 376 vulnerabilidades, das quais 351 (93.4%) foram corrigidas. Onze (2.9%) vulnerabilidades permaneceram sem correção e outras 14 (3.7%) foram marcadas como não sujeitas a correção (WontFix). Ao longo dos anos, o número de vulnerabilidades cujas correções não cumpriram o prazo de aplicação diminuiu: em 2021, 14% das vulnerabilidades necessitaram de 14 dias adicionais para correção e apenas uma vulnerabilidade não foi corrigida antes da divulgação.
Fabricante
Número de problemas
Corrigido em 90 dias
Corrigido em mais 14 dias.
Não foi resolvido dentro do prazo estipulado.
Número médio de dias até a correção
Apple
84
73 (% 87)
7 (% 8)
4 (% 5)
69
Microsoft
80
61 (% 76)
15 (% 19)
4 (% 5)
83
56
53 (% 95)
2 (% 4)
1 (% 2)
44
Linux
25
24 (% 96)
0 (% 0)
1 (% 4)
25
adobe
19
15 (% 79)
4 (% 21)
0 (% 0)
65
Mozilla
10
9 (% 90)
1 (% 10)
0 (% 0)
46
Samsung
10
8 (% 80)
2 (% 20)
0 (% 0)
72
Oracle
7
3 (% 43)
0 (% 0)
4 (% 57)
109
Outros*
55
48 (% 87)
3 (% 5)
4 (% 7)
44
TOTAL
346
294 (% 84)
34 (% 10)
18 (% 5)
61
В среднем на формирование исправления уязвимости в 2021 году требовалось 52 дня, в 2020 году — 54 дня, в 2019 году — 67 дней, в 2018 — 80. Наиболее оперативно уязвимости устранялись в ядре Linux — в среднем 15, 22 и 32 дня в 2021, 2020 и 2019 годах. Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней (по первой таблице с общим временим медленее реагировала компания Oracle — 109 дней на исправление). У Apple на исправление в среднем уходило 64, 63 и 71 день. В продуктах Google среднее время формирования исправлений по годам составило 53, 22 и 49 дней.
Vendedor
Bugs em 2019
(média de dias para consertar)
Bugs em 2020
(média de dias para consertar)
Bugs em 2021
(média de dias para consertar)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Outros*
54 (63)
35 (54)
14 (29)
TOTAL
199 (67)
87 (54)
63 (52)
De todos os fabricantes de navegadores, o Chrome é o que desenvolve correções mais rapidamente, mas o Firefox é o que as lança com maior agilidade (no Chrome e no Safari, uma vulnerabilidade já corrigida no código permanece oculta aos usuários por um longo período, sendo explorada por atacantes).
Chrome
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Segurança
75
8.8
37.3
46.1
Fonte: opennet.ru
