谷歌Project Zero报告称甲骨文、微软、三星修复零日漏洞效果最差

发布时间：2022-02-14 12:54:10来源：E安全

据Google的ProjectZero报告称，与去年相比，组织正在更快地解决零日漏洞。软件供应商平均需要52天来解决零项目报告的漏洞，而3年前的平均时间约为80天。

好消息是修复漏洞的平均时间远低于90天的最后期限，研究人员还观察到错过最后期限（或额外的14天宽限期）的供应商数量显著减少。谷歌零项目研究人员报告称，在2021年，只有一种情况下供应商超过了最后期限，而14%的错误需要宽限期。

“2019年至2021年之间，零项目在我们标准的90天期限内向供应商报告了376个问题。这些错误中的351个(93.4%)已修复，而供应商已将14个(3.7%)标记为WontFix。11个(2.9%)其他错误仍未修复，尽管在撰写本文时8个已过了修复期限；其余3个仍处于修复期限内。”阅读谷歌发布的报告。“大多数漏洞都集中在少数供应商周围，向微软报告了96个错误(26%)，向苹果报告了85个(23%)，向谷歌报告了60个(16%)。”

下表包括自2019年1月以来，零项目在90天期限内向供应商报告并已修复的所有漏洞。

Linux、Mozilla和Google是解决该漏洞最有效的组织，而最差的是甲骨文、微软和三星。

GoogleProjectZero还分析了移动操作系统的零日指标，iOS和Android修复漏洞的平均时间相似，平均修复时间分别为70天和72天。

“首先要注意的是，在这段时间里，iOS收到的来自零项目的错误报告似乎比任何版本的Android都多得多，但这并不是研究目标选择的不平衡，这更多地反映了Apple的出货方式软件。iMessage、Facetime和Safari/WebKit等“应用程序”的安全更新都作为操作系统更新的一部分提供，因此我们将这些更新包括在操作系统的分析中。另一方面，Android上独立应用程序的安全更新是通过GooglePlay商店进行的，因此不包括在此分析中。尽管如此，所有三个供应商的平均修复时间都非常相似。”

在处理网络浏览器时，Chrome的平均bug修复周期最短，为29.9天，而WebKit漏洞平均需要72.7天。

“在过去三年中，供应商在很大程度上加速了他们的补丁程序，有效地将总体平均修复时间缩短到了大约52天。2021年，只有一个90天的期限被超过。”

这种趋势可能是由于负责任的披露政策已成为行业事实上的标准，供应商更有能力对不同期限的报告做出快速反应。并且供应商们已经相互学习了最佳实践，该行业的透明度越来越高。

注：本文由E安全编译报道。