ProHoster > Blog > internetne novice > Ocena hitrosti sanacije ranljivosti, ki jih je odkril Google Project Zero

Ocena hitrosti sanacije ranljivosti, ki jih je odkril Google Project Zero

Raziskovalci ekipe Google Project Zero so povzeli podatke o odzivnih časih proizvajalcev, da bi odkrili nove ranljivosti v njihovih izdelkih. V skladu z Googlovo politiko imajo ranljivosti, ki so jih odkrili raziskovalci iz Google Project Zero, 90 dni za odpravo, dodatnih 14 dni za javno razkritje pa se lahko na zahtevo odloži. Po 104 dneh je ranljivost razkrita, tudi če težava ostane neodpravljena.

Od leta 2019 do 2021 je projekt identificiral 376 težav, od katerih jih je bilo odpravljenih 351 (93.4 %). 11 (2.9 %) ranljivosti je ostalo nepopravljenih, nadaljnjih 14 (3.7 %) težav pa je bilo označenih kot nepopravljive (WontFix). Z leti se je zmanjšalo število ranljivosti, za katere popravki niso dokončani v dodeljenem časovnem okviru za razvoj popravkov – leta 2021 je bilo za 14 % zahtevanih dodatnih 14 dni za popravek in samo ena ranljivost ni bila popravljena pred razkritjem.

Производитель

Število težav

Popravljeno v 90 dneh

Popravljeno v dodatnih 14 dneh

Ni popravljeno v predvidenem času

Povprečno število dni za popravilo

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

Microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Oracle

7

3 (43%)

0 (0%)

4 (57%)

109

drugi*

55

48 (87%)

3 (5%)

4 (7%)

44

SKUPAJ

346

294 (84%)

34 (10%)

18 (5%)

61

V povprečju je trajalo 2021 dni, da se ustvari popravek ranljivosti v letu 52, 2020 dni v letu 54, 2019 dni v letu 67, 2018 dni v letu 80. Ranljivosti so bile najhitreje odpravljene v jedru Linuxa – v povprečju 15, 22 in 32 dni v letu 2021 , 2020 in 2019. Najpočasnejše podjetje, ki je izdalo popravek, je bil Microsoft, ki je za popravilo potreboval povprečno 76, 87 in 85 dni (glede na prvo tabelo s skupnimi časi se je najpočasneje odzval Oracle - 109 dni za popravilo). Apple je za popravilo potreboval povprečno 64, 63 in 71 dni. V Googlovih izdelkih je bil povprečni čas za ustvarjanje popravkov po letih 53, 22 in 49 dni.

Prodajalec

Napake v letu 2019

(povprečno število dni za popravek)

Napake v letu 2020

(povprečno število dni za popravek)

Napake v letu 2021

(povprečno število dni za popravek)

Apple

61 (71)

13 (63)

11 (64)

Microsoft

46 (85)

18 (87)

16 (76)

google

26 (49)

13 (22)

17 (53)

Linux

12 (32)

8 (22)

5 (15)

drugi*

54 (63)

35 (54)

14 (29)

SKUPAJ

199 (67)

87 (54)

63 (52)

Od proizvajalcev brskalnikov se popravki najhitreje generirajo za Chrome, vendar izdajo po pojavu popravka hitreje izvede Firefox (v Chromu in Safariju ranljivost, ki je že odpravljena v kodi, še nekaj časa ni obveščena o uporabnikih dolgo časa, kar izkoriščajo napadalci).

Brskalnik Število težavPovprečni čas v dnevih od obvestila o težavi do objave popravkaPovprečni čas od objave popravka do izdaje izdelkaPovprečni čas od obvestila o ranljivosti do izdaje s popravkom

Krom

40

5.3

24.6

29.9

WebKit

27

11.6

61.1

72.7

Firefox

8

16.6

21.1

37.8

Skupaj za plačilo

75

8.8

37.3

46.1



Vir: opennet.ru

Dodaj komentar