Die IT Security Forscher von Googles Project Zero haben für den Zeitraum von 2019 bis 2021 untersucht, wie schnell die Hersteller neu gefundene & ihnen gemeldete Sicherheitslücken behoben haben. Im Schnitt wurden die Lücken im Linux Kernel innerhalb 25 Tagen gepatcht. Bei Microsoft dauerte es mit durchschnittlich 83 Tagen mehr als 3 mal so lange. Am schlechtesten Schnitt Oracle mit 109 Tagen ab.
Vendor
|
Total bugs
|
Fixed by day 90
|
Fixed during grace period
|
Exceeded deadline
& grace period
|
Avg days to fix
|
Apple
|
84
|
73 (87%)
|
7 (8%)
|
4 (5%)
|
69
|
Microsoft
|
80
|
61 (76%)
|
15 (19%)
|
4 (5%)
|
83
|
Google
|
56
|
53 (95%)
|
2 (4%)
|
1 (2%)
|
44
|
Linux
|
25
|
24 (96%)
|
0 (0%)
|
1 (4%)
|
25
|
Adobe
|
19
|
15 (79%)
|
4 (21%)
|
0 (0%)
|
65
|
Mozilla
|
10
|
9 (90%)
|
1 (10%)
|
0 (0%)
|
46
|
Samsung
|
10
|
8 (80%)
|
2 (20%)
|
0 (0%)
|
72
|
Oracle
|
7
|
3 (43%)
|
0 (0%)
|
4 (57%)
|
109
|
Others*
|
55
|
48 (87%)
|
3 (5%)
|
4 (7%)
|
44
|
TOTAL
|
346
|
294 (84%)
|
34 (10%)
|
18 (5%)
|
61
|
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Bei Mobiltelefonen der Hersteller Apple, Samsung & Google stehen die Updates im Schnitt nach 70 Tagen bereit:
Vendor
|
Total bugs
|
Avg fix time
|
iOS
|
76
|
70
|
Android (Samsung)
|
10
|
72
|
Android (Pixel)
|
6
|
72
|
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Die Browser-Hersteller sind da etwas schneller, Chrome wird nach 30 Tagen gepatcht, Firefox nach 38 Tagen:
Browser
|
Bugs
|
Avg days from bug report to public patch
|
Avg days from public patch to release
|
Avg days from bug report to release
|
Chrome
|
40
|
5.3
|
24.6
|
29.9
|
WebKit
|
27
|
11.6
|
61.1
|
72.7
|
Firefox
|
8
|
16.6
|
21.1
|
37.8
|
Total
|
75
|
8.8
|
37.3
|
46.1
|
Quelle: https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html
Wir patchen unsere Server übrigens täglich, sobald die Patches der Hersteller freigegeben und getestet worden sind.