Security Alert: xz Library Backdoor
Eine Backdoor wurde in den xz-utils entdeckt. Die angreifbaren Systeme haben die Version 5.6.0 oder 5.6.1 der liblzma Library installiert. Das ist beispielsweise bei Debian Testing und Unstable ...
Die IT Security Forscher von Googles Project Zero haben für den Zeitraum von 2019 bis 2021 untersucht, wie schnell die Hersteller neu gefundene & ihnen gemeldete Sicherheitslücken behoben haben. Im Schnitt wurden die Lücken im Linux Kernel innerhalb 25 Tagen gepatcht. Bei Microsoft dauerte es mit durchschnittlich 83 Tagen mehr als 3 mal so lange. Am schlechtesten Schnitt Oracle mit 109 Tagen ab.
Vendor |
Total bugs |
Fixed by day 90 |
Fixed during |
Exceeded deadline & grace period |
Avg days to fix |
Apple |
84 |
73 (87%) |
7 (8%) |
4 (5%) |
69 |
Microsoft |
80 |
61 (76%) |
15 (19%) |
4 (5%) |
83 |
|
56 |
53 (95%) |
2 (4%) |
1 (2%) |
44 |
Linux |
25 |
24 (96%) |
0 (0%) |
1 (4%) |
25 |
Adobe |
19 |
15 (79%) |
4 (21%) |
0 (0%) |
65 |
Mozilla |
10 |
9 (90%) |
1 (10%) |
0 (0%) |
46 |
Samsung |
10 |
8 (80%) |
2 (20%) |
0 (0%) |
72 |
Oracle |
7 |
3 (43%) |
0 (0%) |
4 (57%) |
109 |
Others* |
55 |
48 (87%) |
3 (5%) |
4 (7%) |
44 |
TOTAL |
346 |
294 (84%) |
34 (10%) |
18 (5%) |
61 |
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Bei Mobiltelefonen der Hersteller Apple, Samsung & Google stehen die Updates im Schnitt nach 70 Tagen bereit:
Vendor |
Total bugs |
Avg fix time |
iOS |
76 |
70 |
Android (Samsung) |
10 |
72 |
Android (Pixel) |
6 |
72 |
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Die Browser-Hersteller sind da etwas schneller, Chrome wird nach 30 Tagen gepatcht, Firefox nach 38 Tagen:
Browser |
Bugs |
Avg days from bug report to public patch |
Avg days from public patch to release |
Avg days from bug report to release |
Chrome |
40 |
5.3 |
24.6 |
29.9 |
WebKit |
27 |
11.6 |
61.1 |
72.7 |
Firefox |
8 |
16.6 |
21.1 |
37.8 |
Total |
75 |
8.8 |
37.3 |
46.1 |
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Wir patchen unsere Server übrigens täglich, sobald die Patches der Hersteller freigegeben und getestet worden sind.