谷歌Project Zero报告称甲骨文、微软、三星修复零日漏洞效果最差

安全 漏洞
Linux、Mozilla 和 Google 是解决该漏洞最有效的组织,而最差的是甲骨文、微软和三星。

据 Google 的 Project Zero报告称,与去年相比,组织正在更快地解决零日漏洞。软件供应商平均需要52天来解决零项目报告的漏洞,而3年前的平均时间约为80天。

好消息是修复漏洞的平均时间远低于90天的最后期限,研究人员还观察到错过最后期限(或额外的14 天宽限期)的供应商数量显著减少 。谷歌零项目研究人员报告称,在2021年,只有一种情况下供应商超过了最后期限,而14%的错误需要宽限期。

“2019年至2021年之间,零项目在我们标准的90天期限内向供应商报告了376个问题。这些错误中的351个(93.4%) 已修复,而供应商已将14个 (3.7%) 标记为 WontFix。11个 (2.9%) 其他错误仍未修复,尽管在撰写本文时 8 个已过了修复期限;其余 3 个仍处于修复期限内。” 阅读谷歌发布的报告。“大多数漏洞都集中在少数供应商周围,向微软报告了 96 个错误 (26%),向苹果报告了 85 个 (23%),向谷歌报告了 60 个 (16%)。”

下表包括自2019年1月以来,零项目在90天期限内向供应商报告并已修复的所有漏洞。

Linux、Mozilla 和 Google 是解决该漏洞最有效的组织,而最差的是甲骨文、微软和三星。

Google Project Zero还分析了移动操作系统的零日指标,iOS和 Android 修复漏洞的平均时间相似,平均修复时间分别为70天和72天。

“首先要注意的是,在这段时间里,iOS收到的来自零项目的错误报告似乎比任何版本的 Android都多得多,但这并不是研究目标选择的不平衡,这更多地反映了Apple的出货方式软件。iMessage、Facetime 和Safari/WebKit 等“应用程序”的安全更新都作为操作系统更新的一部分提供,因此我们将这些更新包括在操作系统的分析中。另一方面,Android 上独立应用程序的安全更新是通过 Google Play 商店进行的,因此不包括在此分析中。尽管如此,所有三个供应商的平均修复时间都非常相似。”

在处理网络浏览器时,Chrome 的平均 bug 修复周期最短,为29.9天,而WebKit漏洞平均需要72.7天。

“在过去三年中,供应商在很大程度上加速了他们的补丁程序,有效地将总体平均修复时间缩短到了大约52天。2021年,只有一个90天的期限被超过。”

这种趋势可能是由于负责任的披露政策已成为行业事实上的标准,供应商更有能力对不同期限的报告做出快速反应。并且供应商们已经相互学习了最佳实践,该行业的透明度越来越高。

责任编辑:赵宁宁 来源: 新浪科技
相关推荐

2016-01-31 16:49:42

漏洞Galaxy

2021-05-25 14:22:55

Android漏洞Google

2013-01-16 09:24:38

2013-10-15 10:22:43

2013-02-22 15:36:06

Java甲骨文Oracle

2011-01-19 11:51:39

2014-04-18 10:05:07

2012-06-26 10:00:57

云计算IBM微软

2020-11-21 19:30:48

GitHub代码开发者

2013-05-20 09:53:33

2013-08-30 10:39:47

谷歌甲骨文专利

2010-09-14 11:18:46

甲骨文谷歌

2012-09-04 14:42:36

2011-06-29 09:20:33

JavaOracleGoogle

2011-06-29 14:42:31

Android谷歌甲骨文

2020-08-21 11:57:02

甲骨文微软TikTok

2013-11-14 11:16:00

2022-04-26 06:37:18

漏洞网络安全网络攻击

2022-04-21 11:42:43

甲骨文漏洞

2013-10-12 09:45:23

甲骨文MySQLMariaDB
点赞
收藏

51CTO技术栈公众号