Jonathan Greig er journalist baseret i New York City.
Fuld biografisk den 11. februar 2022 | Emne: Google
Googles Project Zero udgav en rapport, der dækker dets arbejde i 2021, og fandt ud af, at leverandører i gennemsnit tog 52 dage på at rette rapporterede sikkerhedssårbarheder.
Mellem 2019 og 2021 rapporterede Project Zero-forskere 376 problemer til leverandører under deres 90-dages deadline.
Af disse 376 problemer er mere end 93 % af disse fejl blevet rettet, og over 3 % er blevet markeret som “WontFix” af leverandørerne ifølge Project Zero.
Forskerne tilføjede, at 11 andre fejl forbliver urettet, og 8 har overskredet deres deadline for at blive rettet. Microsoft, Apple og Google står for 65 % af de opdagede fejl. Microsoft førte an med 96 fejl, efterfulgt af 85 fra Apple og 60 fra Google.
“Samlet set viser dataene, at næsten alle de store leverandører her i gennemsnit kommer på under 90 dage. Størstedelen af rettelser i en henstandsperiode kommer fra Apple og Microsoft (22 ud af 34 i alt). Leverandører har overskredet deadline og henstandsperiode omkring 5 % af tiden i denne periode,” sagde Project Zero-forskere.
“I dette udsnit har Oracle overskredet den højeste rate, men ganske vist med en relativt lille stikprøvestørrelse på kun omkring 7 fejl. Den næsthøjeste rate er Microsoft, der har overskredet 4 af deres 80 deadlines. Gennemsnitligt antal dage til at rette fejl på tværs af alle leverandører er 61 dage.”
Google leverede også andre statistikker, der viser, at den samlede tid til at rette konsekvent har været faldende, især for leverandører som Microsoft, Apple og Linux. Alle tre reducerede deres tid til at rette mellem 2019 og 2020, mens Google tog fart i 2020 og satte farten ned igen i 2021.
I 2021 bemærkede de, at kun én 90-dages frist blev overskredet, et markant fald sammenlignet med gennemsnittet på 9 om året i de to andre år. Forskerne tilføjede, at henstandsperioden blev brugt 9 gange – hvoraf halvdelen var af Microsoft – mod det lidt lavere gennemsnit på 12,5 i de andre år.
Når det kommer til mobile sårbarheder, havde iOS-enheder 76 fejl i alt, efterfulgt af 10 for Samsung Android-enheder og 6 for Pixel Androids.
For browsere havde Chrome 40 fejl og en gennemsnitlig tid til opdatering på 5,3 dage. WebKit havde 27 fejl og en gennemsnitlig tid på 11,6 dage til at reparere, mens Firefox havde 8 fejl og en gennemsnitlig tid på 16,6 dage at rette.
“Chrome er i øjeblikket den hurtigste af de tre browsere med tid fra fejl rapporter om at frigive en rettelse i den stabile kanal om 30 dage. Firefox kommer på andenpladsen i denne analyse, dog med et relativt lille antal datapunkter at analysere. Firefox udgiver en rettelse i gennemsnit på 38 dage,” sagde forskerne.
“WebKit er outlieren i denne analyse, med det længste antal dage til at frigive en patch på 73 dage. Deres tid til at lande rettelsen offentligt er midt imellem Chrome og Firefox, men det efterlader desværre meget lang tid for opportunistiske angribere til at finde patchen og udnytte den, før rettelsen gøres tilgængelig for brugerne.”
Project Zero sagde, at resultaterne var en positiv udvikling, der viser, at mange leverandører retter de fleste af de fejl, de finder. Leverandører bevæger sig også hurtigere for at rette op på problemer, hvor Google tilskriver det ansvarlige offentliggørelsespolitikker, der er blevet standarden i branchen.
Google opfordrede alle leverandører til at fokusere på en “hyppigere patch-kadence for sikkerhedsproblemer. “
“Vi opfordrer alle leverandører til at overveje at offentliggøre samlede data om deres time-to-fix og time-to-patch for eksternt rapporterede sårbarheder. Gennem mere gennemsigtighed, informationsdeling og samarbejde på tværs af branchen tror på, at vi kan lære af hinandens bedste praksis, bedre forstå eksisterende vanskeligheder og forhåbentlig gøre internettet til et sikrere sted for alle,” sagde Project Zero.
Sikkerhed
Flere virksomheder er ved hjælp af multi-faktor autentificering. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Sikkerhed | Sky | Mobilitet | Enterprise Software | Kunstig intelligens | Hardware