Pesquisadores da equipe do Google Project Zero resumiram dados sobre os tempos de resposta dos fabricantes para descobrir novas vulnerabilidades em seus produtos. De acordo com a política do Google, as vulnerabilidades identificadas pelos pesquisadores do Google Project Zero têm 90 dias para serem resolvidas, além de 14 dias adicionais para divulgação pública que podem ser adiados mediante solicitação. Após 104 dias, a vulnerabilidade é divulgada mesmo que o problema permaneça sem solução.
De 2019 a 2021, o projeto identificou 376 problemas, dos quais 351 (93.4%) foram corrigidos. 11 (2.9%) vulnerabilidades permaneceram sem correção e outros 14 (3.7%) problemas foram marcados como não corrigíveis (WontFix). Ao longo dos anos, houve uma diminuição no número de vulnerabilidades para as quais os patches não atendem ao cronograma de desenvolvimento de patches atribuído – em 2021, 14% foram solicitados 14 dias adicionais para correção e apenas uma vulnerabilidade não foi corrigida antes da divulgação.
Fabricante
Número de problemas
Corrigido em 90 dias
Corrigido em 14 dias adicionais
Não corrigido dentro do tempo estipulado
Número médio de dias para corrigir
Apple
84
73 (% 87)
7 (% 8)
4 (% 5)
69
Microsoft
80
61 (% 76)
15 (% 19)
4 (% 5)
83
56
53 (% 95)
2 (% 4)
1 (% 2)
44
Linux
25
24 (% 96)
0 (% 0)
1 (% 4)
25
adobe
19
15 (% 79)
4 (% 21)
0 (% 0)
65
Mozilla
10
9 (% 90)
1 (% 10)
0 (% 0)
46
Samsung
10
8 (% 80)
2 (% 20)
0 (% 0)
72
Oracle
7
3 (% 43)
0 (% 0)
4 (% 57)
109
Outros*
55
48 (% 87)
3 (% 5)
4 (% 7)
44
TOTAL
346
294 (% 84)
34 (% 10)
18 (% 5)
61
Em média, foram necessários 2021 dias para criar uma correção de vulnerabilidade em 52, 2020 dias em 54, 2019 dias em 67, 2018 dias em 80. As vulnerabilidades foram corrigidas mais rapidamente no kernel Linux – em média 15, 22 e 32 dias em 2021 , 2020 e 2019. A empresa mais lenta a lançar uma correção foi a Microsoft, que levou em média 76, 87 e 85 dias para consertar (de acordo com a primeira tabela com tempos totais, a Oracle foi a mais lenta para responder – 109 dias para consertar). A Apple levou em média 64, 63 e 71 dias para consertar. Nos produtos Google, o tempo médio para geração de patches por ano foi de 53, 22 e 49 dias.
Vendedor
Erros em 2019
(média de dias para corrigir)
Erros em 2020
(média de dias para corrigir)
Erros em 2021
(média de dias para corrigir)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Outros*
54 (63)
35 (54)
14 (29)
TOTAL
199 (67)
87 (54)
63 (52)
Dos fabricantes de navegadores, as correções são geradas mais rapidamente para o Chrome, mas o lançamento após o aparecimento da correção é concluído mais rapidamente pelo Firefox (no Chrome e no Safari, uma vulnerabilidade já corrigida no código permanece não comunicada aos usuários por um muito tempo, que é explorado por invasores).
Chrome
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Total
75
8.8
37.3
46.1
Fonte: opennet.ru