Оценка оперативности устранения уязвимостей, обнаруженных Google Project Zero
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Исследователи из команды Google Project Zero обобщили данные о времени реакции производителей на выявления новых уязвимостей в их продуктах. В соответствии с политикой Google, на устранение уязвимостей, выявленных исследователями из Google Project Zero, даётся 90 дней, плюс дополнительно публичная огласка может быть сдвинута ещё на 14 дней по отдельному запросу. После 104 дней сведения об уязвимости раскрываются даже если проблема остаётся неисправленной.
С 2019 по 2021 год проектом выявлено 376 проблем, из которых было исправлено 351 (93.4%). Без исправления остались 11 (2.9%) уязвимостей, а ещё 14 (3.7%) проблем были помечены как не подлежащие исправлению (WontFix). С годами отмечается снижение числа уязвимостей, исправления для которых не укладываются в выделенный срок подготовки исправлений - в 2021 году для 14% были запрошены дополнительные 14 дней на исправление и лишь одна уязвимость не была исправлена до раскрытия информации.
Производитель
Число проблем
Исправлено за 90 дней
Исправлено за дополнительные 14 дней
Не исправлено за выделенное время
Среднее число дней до исправления
Apple
84
73 (87%)
7 (8%)
4 (5%)
69
Microsoft
80
61 (76%)
15 (19%)
4 (5%)
83
Google
56
53 (95%)
2 (4%)
1 (2%)
44
Linux
25
24 (96%)
0 (0%)
1 (4%)
25
Adobe
19
15 (79%)
4 (21%)
0 (0%)
65
Mozilla
10
9 (90%)
1 (10%)
0 (0%)
46
Samsung
10
8 (80%)
2 (20%)
0 (0%)
72
Oracle
7
3 (43%)
0 (0%)
4 (57%)
109
Others*
55
48 (87%)
3 (5%)
4 (7%)
44
TOTAL
346
294 (84%)
34 (10%)
18 (5%)
61
В среднем на формирование исправления уязвимости в 2021 году требовалось 52 дня, в 2020 году - 54 дня, в 2019 году - 67 дней, в 2018 - 80. Наиболее оперативно уязвимости устранялись в ядре Linux - в среднем 15, 22 и 32 дня в 2021, 2020 и 2019 годах. Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней (по первой таблице с общим временим медленее реагировала компания Oracle - 109 дней на исправление). У Apple на исправление в среднем уходило 64, 63 и 71 день. В продуктах Google среднее время формирования исправлений по годам составило 53, 22 и 49 дней.
Vendor
Bugs in 2019
(avg days to fix)
Bugs in 2020
(avg days to fix)
Bugs in 2021
(avg days to fix)
Apple
61 (71)
13 (63)
11 (64)
Microsoft
46 (85)
18 (87)
16 (76)
Google
26 (49)
13 (22)
17 (53)
Linux
12 (32)
8 (22)
5 (15)
Others*
54 (63)
35 (54)
14 (29)
TOTAL
199 (67)
87 (54)
63 (52)
Из производителей браузеров наиболее оперативно исправление формируются для Chrome, но релиз после появления исправления быстрее формирует Firefox (в Сhrome и Safari уже исправленная в коде уязвимость достаточно долго остаётся не доведена до пользователей, чем пользуются злоумышленники).
Браузер
Число проблемСреднее время в днях от уведомления о проблеме до публикации исправленияСреднее время от публикации патча до релиза продуктаСреднее время от уведомления об уязвимости до релиза с исправлением
Chrome
40
5.3
24.6
29.9
WebKit
27
11.6
61.1
72.7
Firefox
8
16.6
21.1
37.8
Total
75
8.8
37.3
46.1
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://googleprojectzero.blog...)
- OpenNews: Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов
- OpenNews: Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux
- OpenNews: Уязвимость в специфичном для CPU AMD коде KVM, позволяющая выполнить код вне гостевой системы
- OpenNews: 0-day уязвимость в Chrome, выявленная через анализ изменений в движке V8
- OpenNews: Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome
Похожие новости:Теги для поиска: #_projectzero
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:13
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Исследователи из команды Google Project Zero обобщили данные о времени реакции производителей на выявления новых уязвимостей в их продуктах. В соответствии с политикой Google, на устранение уязвимостей, выявленных исследователями из Google Project Zero, даётся 90 дней, плюс дополнительно публичная огласка может быть сдвинута ещё на 14 дней по отдельному запросу. После 104 дней сведения об уязвимости раскрываются даже если проблема остаётся неисправленной. С 2019 по 2021 год проектом выявлено 376 проблем, из которых было исправлено 351 (93.4%). Без исправления остались 11 (2.9%) уязвимостей, а ещё 14 (3.7%) проблем были помечены как не подлежащие исправлению (WontFix). С годами отмечается снижение числа уязвимостей, исправления для которых не укладываются в выделенный срок подготовки исправлений - в 2021 году для 14% были запрошены дополнительные 14 дней на исправление и лишь одна уязвимость не была исправлена до раскрытия информации. Производитель Число проблем Исправлено за 90 дней Исправлено за дополнительные 14 дней Не исправлено за выделенное время Среднее число дней до исправления Apple 84 73 (87%) 7 (8%) 4 (5%) 69 Microsoft 80 61 (76%) 15 (19%) 4 (5%) 83 56 53 (95%) 2 (4%) 1 (2%) 44 Linux 25 24 (96%) 0 (0%) 1 (4%) 25 Adobe 19 15 (79%) 4 (21%) 0 (0%) 65 Mozilla 10 9 (90%) 1 (10%) 0 (0%) 46 Samsung 10 8 (80%) 2 (20%) 0 (0%) 72 Oracle 7 3 (43%) 0 (0%) 4 (57%) 109 Others* 55 48 (87%) 3 (5%) 4 (7%) 44 TOTAL 346 294 (84%) 34 (10%) 18 (5%) 61 В среднем на формирование исправления уязвимости в 2021 году требовалось 52 дня, в 2020 году - 54 дня, в 2019 году - 67 дней, в 2018 - 80. Наиболее оперативно уязвимости устранялись в ядре Linux - в среднем 15, 22 и 32 дня в 2021, 2020 и 2019 годах. Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней (по первой таблице с общим временим медленее реагировала компания Oracle - 109 дней на исправление). У Apple на исправление в среднем уходило 64, 63 и 71 день. В продуктах Google среднее время формирования исправлений по годам составило 53, 22 и 49 дней. Vendor Bugs in 2019 (avg days to fix) Bugs in 2020 (avg days to fix) Bugs in 2021 (avg days to fix) Apple 61 (71) 13 (63) 11 (64) Microsoft 46 (85) 18 (87) 16 (76) 26 (49) 13 (22) 17 (53) Linux 12 (32) 8 (22) 5 (15) Others* 54 (63) 35 (54) 14 (29) TOTAL 199 (67) 87 (54) 63 (52) Из производителей браузеров наиболее оперативно исправление формируются для Chrome, но релиз после появления исправления быстрее формирует Firefox (в Сhrome и Safari уже исправленная в коде уязвимость достаточно долго остаётся не доведена до пользователей, чем пользуются злоумышленники). Браузер Число проблемСреднее время в днях от уведомления о проблеме до публикации исправленияСреднее время от публикации патча до релиза продуктаСреднее время от уведомления об уязвимости до релиза с исправлением Chrome 40 5.3 24.6 29.9 WebKit 27 11.6 61.1 72.7 Firefox 8 16.6 21.1 37.8 Total 75 8.8 37.3 46.1 =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:13
Часовой пояс: UTC + 5