谷歌Project Zero发布报告阐述其2021年的工作。报告中称,供应商平均花费52天修复报告的安全漏洞。
2019到2021年间,Project Zero遵从其90天披露机制向供应商报告了376个漏洞。
Project Zero表示,这些漏洞中93%以上已被修复,超过3%的漏洞则被供应商标记为“不会修复”。
研究人员补充道,还有11个漏洞未被修复,而超过修复时限的漏洞则有8个。微软、苹果和谷歌联手贡献了所发现漏洞的65%。微软暴露的漏洞最多,有96个;苹果和谷歌曝出的漏洞数量分别是85个和60个。
Project Zero研究人员表示:“总体而言,几乎全部大型供应商都遵守了90天披露期限。在宽限期内修复的漏洞中,苹果和微软占比最高(总共34个漏洞中占22个)。在此期间,供应商大约有5%的时间超出最后期限和宽限期。”
“这段时间里,Oracle的按时修复率最高,但无可否认,其样本量相对较小,只有7个漏洞。第二高的是微软,80个漏洞中只有4个漏洞超过了时限。全部供应商的漏洞平均修复时间为61天。”
2019-2021年按时修复与修复耗时情况,按漏洞报告数量划分
谷歌的数据显示,总修复时间一直在缩短,尤其是微软、苹果和Linux这样的供应商。2019至2020年间,这三家公司都缩短了修复时间,而谷歌在2020年加快了修复速度,但在2021年又放慢了修复的脚步。
他们指出,在2021年,只有一个漏洞超过了90天期限,明显好于2019和2020这两年平均每年9个漏洞逾期的情况。研究人员补充称,启用宽限期的情况出现了9次,其中半数发生在微软身上,而其他年份平均每年12.5次。
在移动设备漏洞方面,iOS设备共出现了76个漏洞,其次是三星Android设备,共10个漏洞;Pixel Android设备,6个漏洞。
至于浏览器,Chrome出现了40个漏洞,平均需要5.3天时间打上补丁。WebKit漏洞数量为27个,平均修复时间是11.6天,而Firefox曝出8个漏洞,平均修复时间为16.6天。
研究人员表示:“三款浏览器中,目前Chrome的修复速度最快,从接到漏洞报告到在稳定版中修复需要30天。Firefox则在本次调查分析中排名第二,不过其供分析的数据点相对较少。Firefox发布补丁平均需要38天。”
“WebKit算是本次分析中的异常值,发布补丁最久需要73天。他们公布补丁的时间介于Chrome和Firefox之间,但遗憾的是,这给机会主义攻击者留下了非常长的时间,让他们能够在用户可以应用补丁之前找到并利用补丁。”
Project Zero表示调查结果呈现出积极的信号,表明多数供应商正在修复他们发现的大部分漏洞。供应商也在加快纠正问题的步伐,而谷歌将其归功于已成为行业标准的负责任披露政策。
谷歌敦促所有供应商重视“加快安全问题的补丁节奏”。
Project Zero称:“我们鼓励所有供应商考虑发布关于外部报告漏洞修复时间的聚合数据。通过提升透明度、信息共享和全行业协作,我们可以互相学习彼此的最佳实践,深入了解现存的困难与问题,有望将互联网打造成对所有人来说都更安全的地方。”
很赞哦! (119)