Project Zero ist ein Google-Sicherheitsteam, das die Aufgabe hat, Sicherheitslücken in den eigenen Produkten des Unternehmens sowie in Produkten anderer Anbieter zu finden. Wenn ein solches Problem entdeckt wird, meldet es es privat an die Anbieter und gibt ihnen 90 Tage Zeit, um die Schwachstelle zu beheben, bevor sie öffentlich wird. Je nach Komplexität der Behebung kann auch eine Nachfrist gewährt werden. Wir haben die Erkenntnisse des Teams zu Neowin in der Vergangenheit ausführlich behandelt. Heute hat Google einige Statistiken aus seiner Forschung der letzten Jahre geteilt.
Zwischen Januar 2019 und Dezember 2021 hat Project Zero 376 Probleme mit einer Frist von 90 Tagen gemeldet. Davon wurden 351 (93,4 %) behoben, 14 (3,7 %) wurden von Anbietern als „WontFix“ gekennzeichnet und 11 (2,9 %) sind noch offen. Aus der letzten Kategorie befinden sich jedoch noch drei innerhalb der 90-Tage-Frist.
Interessanterweise betrafen 96 (26 %) der gefundenen Fehler Microsoft-Produkte, 85 (23 %) Apple und 60 (16 %) Google. Oracle hat die meisten Fristen überschritten, und Microsoft war auf dem zweiten Platz. Was die Zeit anbelangt, die große Anbieter für die Behebung pro Jahr benötigen, können Sie die Aufschlüsselung nach Jahr unten überprüfen:
| Verkäufer | Durchschnittliche Tage zur Behebung von Fehlern im Jahr 2019 | Durchschnittliche Tage zur Behebung von Fehlern im Jahr 2020 | Durchschnittliche Tage zur Behebung von Fehlern im Jahr 2021 |
|---|---|---|---|
| Apfel | 71 | 63 | 64 |
| Microsoft | 85 | 87 | 76 |
| 49 | 22 | 53 | |
| Linux | 32 | 22 | fünfzehn |
Wie aus dem oben Gesagten ersichtlich ist, gibt es durchweg positive Entwicklungen für Anbieter. Es ist jedoch interessant zu sehen, dass die Neuheitsschonfrist im Jahr 2021 neun Mal beantragt wurde, wobei die Hälfte davon von Microsoft beantragt wurde.
Auf Mobilgeräten wurden 76 Fehler für iOS, 10 für Samsung-Produkte und 6 für Pixel gemeldet. Die durchschnittliche Reparaturzeit für iOS betrug 70 Tage, während die anderen beiden 72 Tage betrugen. Wenn Sie sich fragen, warum auf iOS so viele Sicherheitslücken gefunden wurden, liegt das daran, dass Apple viele Apps als Teil des Betriebssystems ausliefert, während App-Updates durchgeführt werden Android wird hauptsächlich über Google Play verwaltet und ist daher nicht vom Betriebssystem abgedeckt. -Ebene Mängel.
Für den Browser gab es 40 Fehler in Chrome, 27 in Apples WebKit und 8 in Firefox. WebKit war am langsamsten bei der Behebung von Fehlern, die innerhalb von 72 Tagen auftraten, Chrome 30 Tage und Firefox 38 Tage.
Google Project Zero stellte Folgendes fest:
Insgesamt sehen wir eine Reihe vielversprechender Trends, die sich aus den Daten ergeben. Anbieter beheben fast jeden Fehler, den sie erhalten, und tun dies normalerweise innerhalb einer Frist von 90 Tagen plus einer 14-tägigen Nachfrist, falls erforderlich. In den letzten drei Jahren haben die Anbieter die Veröffentlichung von Patches größtenteils beschleunigt und die durchschnittliche Patchzeit insgesamt effektiv auf etwa 52 Tage reduziert. Im Jahr 2021 wurde nur eine 90-Tage-Frist überschritten. Wir vermuten, dass dieser Trend darauf zurückzuführen ist, dass verantwortungsbewusste Offenlegungsrichtlinien zum De-facto-Standard in der Branche geworden sind und Anbieter besser in der Lage sind, schnell auf Berichte mit unterschiedlichen Fristen zu reagieren. Wir vermuten auch, dass die Lieferanten Best Practices voneinander übernommen haben, da die Transparenz in der Branche zugenommen hat.
Ein wichtiger Vorbehalt: Wir verstehen, dass sich Project Zero-Berichte von anderen Fehlerberichten unterscheiden können, da sie schneller verarbeitet werden können, da ein wahrgenommenes Risiko einer öffentlichen Offenlegung besteht (wie das Team mitteilen wird, wenn die Fristbedingungen nicht eingehalten werden). und Project Zero ist eine vertrauenswürdige Quelle für zuverlässige Fehlerberichte. Wir ermutigen Anbieter, Metriken zu veröffentlichen, auch wenn sie auf hohem Niveau sind, um eine bessere Vorstellung davon zu geben, wie schnell Sicherheitsprobleme in der Branche gelöst werden, und wir ermutigen andere Sicherheitsforscher weiterhin, ihre Erfahrungen auszutauschen.
Das Project Zero-Team stellte fest, dass Microsoft lange braucht, um Fehler zu beheben, da es sich normalerweise auf die Patch-Update-Häufigkeit am Dienstag verlässt. Er hofft jedoch, dass Microsoft einen besseren und intelligenteren Weg finden kann, um Sicherheitsupdates schneller zu veröffentlichen. Das Sicherheitsteam von Project Zero hat die gleichen Hoffnungen und Empfehlungen für den Android-Sicherheitspatch. Weitere interessante Details finden Sie hier .
Schreibe einen Kommentar