The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Оценка оперативности устранения уязвимостей, обнаруженных Google Project Zero

14.02.2022 09:58

Исследователи из команды Google Project Zero обобщили данные о времени реакции производителей на выявления новых уязвимостей в их продуктах. В соответствии с политикой Google, на устранение уязвимостей, выявленных исследователями из Google Project Zero, даётся 90 дней, плюс дополнительно публичная огласка может быть сдвинута ещё на 14 дней по отдельному запросу. После 104 дней сведения об уязвимости раскрываются даже если проблема остаётся неисправленной.

С 2019 по 2021 год проектом выявлено 376 проблем, из которых было исправлено 351 (93.4%). Без исправления остались 11 (2.9%) уязвимостей, а ещё 14 (3.7%) проблем были помечены как не подлежащие исправлению (WontFix). С годами отмечается снижение числа уязвимостей, исправления для которых не укладываются в выделенный срок подготовки исправлений - в 2021 году для 14% были запрошены дополнительные 14 дней на исправление и лишь одна уязвимость не была исправлена до раскрытия информации.

Производитель

Число проблем

Исправлено за 90 дней

Исправлено за дополнительные 14 дней

Не исправлено за выделенное время

Среднее число дней до исправления

Apple

84

73 (87%)

7 (8%)

4 (5%)

69

Microsoft

80

61 (76%)

15 (19%)

4 (5%)

83

Google

56

53 (95%)

2 (4%)

1 (2%)

44

Linux

25

24 (96%)

0 (0%)

1 (4%)

25

Adobe

19

15 (79%)

4 (21%)

0 (0%)

65

Mozilla

10

9 (90%)

1 (10%)

0 (0%)

46

Samsung

10

8 (80%)

2 (20%)

0 (0%)

72

Oracle

7

3 (43%)

0 (0%)

4 (57%)

109

Others*

55

48 (87%)

3 (5%)

4 (7%)

44

TOTAL

346

294 (84%)

34 (10%)

18 (5%)

61



В среднем на формирование исправления уязвимости в 2021 году требовалось 52 дня, в 2020 году - 54 дня, в 2019 году - 67 дней, в 2018 - 80. Наиболее оперативно уязвимости устранялись в ядре Linux - в среднем 15, 22 и 32 дня в 2021, 2020 и 2019 годах. Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней (по первой таблице с общим временем медленнее реагировала компания Oracle - 109 дней на исправление). У Apple на исправление в среднем уходило 64, 63 и 71 день. В продуктах Google среднее время формирования исправлений по годам составило 53, 22 и 49 дней.

Vendor

Bugs in 2019

(avg days to fix)

Bugs in 2020

(avg days to fix)

Bugs in 2021

(avg days to fix)

Apple

61 (71)

13 (63)

11 (64)

Microsoft

46 (85)

18 (87)

16 (76)

Google

26 (49)

13 (22)

17 (53)

Linux

12 (32)

8 (22)

5 (15)

Others*

54 (63)

35 (54)

14 (29)

TOTAL

199 (67)

87 (54)

63 (52)

Из производителей браузеров наиболее оперативно исправление формируются для Chrome, но релиз после появления исправления быстрее формирует Firefox (в Сhrome и Safari уже исправленная в коде уязвимость достаточно долго остаётся не доведена до пользователей, чем пользуются злоумышленники).

Браузер Число проблемСреднее время в днях от уведомления о проблеме до публикации исправленияСреднее время от публикации патча до релиза продуктаСреднее время от уведомления об уязвимости до релиза с исправлением

Chrome

40

5.3

24.6

29.9

WebKit

27

11.6

61.1

72.7

Firefox

8

16.6

21.1

37.8

Total

75

8.8

37.3

46.1



  1. Главная ссылка к новости (https://googleprojectzero.blog...)
  2. OpenNews: Уязвимость в Mozilla NSS, позволяющая выполнить код при обработке сертификатов
  3. OpenNews: Раскрыта техника эксплуатации уязвимости в tty-подсистеме ядра Linux
  4. OpenNews: Уязвимость в специфичном для CPU AMD коде KVM, позволяющая выполнить код вне гостевой системы
  5. OpenNews: 0-day уязвимость в Chrome, выявленная через анализ изменений в движке V8
  6. OpenNews: Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56696-projectzero
Ключевые слова: projectzero
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:15, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    >Медленнее всех исправление выпускала компания Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней

    Наверное, сурьезный консилиум собирают, а не тяп-ляп за 25 дней.

     
     
  • 2.20, Аноним (20), 12:28, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Консультируются с NSA, CIA.
     
     
  • 3.35, ноунейм (?), 16:48, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Майкрософт и с фсб консультироваться может, возможно, на это больше всего времени уходит.
     
     
  • 4.37, Аноним (37), 18:37, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > на это больше всего времени уходит

    Значит по выбросам в статистике можно предположить, что интересно консультантам?

     

  • 1.2, Аноним (2), 10:16, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Медленнее всех исправление выпускала компания Microsoft

    "не верь глазам своим". ибо в 1-й таблице это оракл (109 дней в среднем).

     
     
  • 2.4, Онаним (?), 10:26, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только и по числу выявленных проблем оракл первый... с хвоста, наименьшее число проблем, а продукты у них так-то серьёзные.
     
     
  • 3.7, InuYasha (??), 10:37, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Такие серьёзные, что обновления BIOS/прочие прошивки только при платной подписке за 500+ долеров. Даже для серверов Sun, которую они скупили и уничтожили.
     
     
  • 4.44, IdeaFix (ok), 12:37, 22/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так у HP теперь то же самое :( И для старых копаков и альф, а pa-risc вообще никак. Как я обновлял и вообще приводил в чуыства b2600 - это просто боль :(
     

  • 1.3, Аноним (3), 10:16, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > Microsoft, на исправление у которой в среднем уходило 76, 87 и 85 дней

    Дык майору же надо переписать бэкдор, скомпилять новые блобы, оттестить - это не так быстро.

     
  • 1.5, Аноним (5), 10:30, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >Среднее число дней до исправления

    А нужно - медианное. Среднее - чуствительно к выбросам.

     
     
  • 2.16, Аноним (37), 11:55, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Среднее - чуствительно к выбросам.

    Это хорошо или плохо?

     
     
  • 3.26, A.Stahl (ok), 13:43, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Плохо.
     
     
  • 4.28, Аноним (37), 14:22, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А я думал плохо то, что медиана и среднее арифметическое - это совершенно разные характеристики распределения
     
     
  • 5.32, A.Stahl (ok), 16:11, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А это как раз хорошо, что разные.


     
     
  • 6.33, Аноним (37), 16:30, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как сравнивать хорошесть совершенно разных характеристик, как сравнивать теплое с мягким?

    Я еще понимаю, когда сравнивают медиану и среднее (мат.ожидание) для симметричного распределения, например, нормальное распределение, когда медиана и среднее совпадают и можно выбирать, с чем удобнее работать.

     

  • 1.6, InuYasha (??), 10:35, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    У GOOLAG главный WontFix - это техподдержка. Её просто НЕТ. Не логинится аккаунт? Попробуйте ещё раз потом. Завтра. Через неделю. Через год... Там сотрудники подразделяются на две категории - помидоры и роботы.
     
     
  • 2.8, Гуглист (?), 10:48, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Потому что у гугла всё настолько отточено, что не может быть ошибок, поэтому и саппа нету. Если у тебя не логинится акк, то трабл у тебя, а не у гугла. У остальных же всё логинится.
     
     
  • 3.11, Аноним (11), 10:49, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не трабл. Это вы стали счастливым участником а/б тестирования новых фишек хрома.
     
  • 3.30, InuYasha (??), 15:08, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хреново гуглишь, gooглист.

    https://news.ycombinator.com/item?id=30060405#30077431 человек просто провёл беглый поиск.

     
  • 2.10, Аноним (10), 10:49, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    просто не пользуйтесь гуглём
     
  • 2.17, Аноним (17), 12:08, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >помидоры и роботы.

    Зомби против растений

     
     
  • 3.42, AtillaFox (ok), 08:19, 15/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Химеры...
     

  • 1.9, Аноним (11), 10:48, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну хотя бы счёт за оказанные услуги по поиску багов не выставляют. Может введут оплату за дополнительные 30 дней отсрочки?
     
     
  • 2.12, Аноним (5), 10:57, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >УК РФ Статья 163. Вымогательство
    >1. Вымогательство, то есть требование передачи чужого имущества или права на имущество или совершения других действий имущественного характера под угрозой применения насилия либо уничтожения или повреждения чужого имущества, а равно под угрозой распространения сведений, позорящих потерпевшего или его близких, либо иных сведений, которые могут причинить существенный вред правам или законным интересам потерпевшего или его близких
     
     
  • 3.15, Аноним (15), 11:42, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Товарищ майор, выпейте таблетки и закройте вкладку с опеннетом.
     
     
  • 4.27, ryoken (ok), 14:12, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Проще: "нажмите (CMD|CTRL)-W".
     
     
  • 5.36, Аноним (37), 18:05, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Alt-F4
     
  • 5.43, Kuromi (ok), 20:17, 15/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше Alt + SysRq + O
     

  • 1.13, Аноним (13), 11:10, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не надо быть программистом, чтобы догадаться, что количество проблем в безопасности будет расти: с каждым годом раздуваются и операционки, и программы.
     
     
  • 2.21, лютый жабби__ (?), 12:37, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Не надо быть программистом, чтобы догадаться, что количество проблем в безопасности будет расти

    а если быть погроммистом, то можно предположить, что в здоровых проектах со всякими юниттестами и регулярными рефакторингами с каждым годом всё лучше и лучше.

    Мысль подтверждается наблюдением: заскорузлые легаси-помойки Оракл и Маздай на дне, а в Linux всё быстрее и быстрее правят дыры.

     
     
  • 3.23, Аноним (23), 12:56, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чувак, у оракла и майкра юнитами все покрыто намного больше чем в ядре. Ядро с точки зрения тестирования поле не паханное. Ты, судя по всему, вообще не знаешь о чем говоришь.
     
  • 3.24, Самокатофил (?), 13:02, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >а если быть погроммистом, то можно предположить, что в здоровых проектах со всякими юниттестами и регулярными рефакторингами с каждым годом всё лучше и лучше.

    Регулярный рефакторинг.
    Всё лучше и лучше.

    Взоржамши.

     

  • 1.14, Аноним (17), 11:11, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Поздравляю пользователей Apple, судя по этому списку - вы лучшие!
     
     
  • 2.18, Аноним (18), 12:14, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В отличие от андройда пользователи яблока обновления получат
     
     
  • 3.25, Аноним (17), 13:06, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Слышал про Pixel?
     

  • 1.19, Аноним (19), 12:26, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Средняя температура по больнице? не
     
     
  • 2.41, Ordu (ok), 08:13, 15/02/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот никогда не понимал этого мема про среднюю температуру по больнице. То есть понятно, что с одной стороны из неё сложно делать какие-то осмысленные выводы, но это ровно до тех пор, пока ты не нарисуешь график средней температуры по больнице за последний год, не посмотришь корреляции этой средней температуры с интересными событиями по больнице, и не выяснишь, вероятно, что эта средняя температура является хорошим индикатором эпидемии гриппа в больнице. Или может ещё чего-то. На самом деле любые отклонения траектории от привычных колебаний будут хорошим поводом начать поиск причин этих отклонений, потому что это может снизить латенси в принятии решений главврачом.

    Здесь тебе нарисовано этих средних аж целых три точки, по каждой категории. И явно виден тренд к снижению. Что это значит -- это вопрос. Например, здесь может работать закон Гудхарта[1], хоть я и не вижу, как. Но... эмм... для этого тебе и даны числа и описано откуда они взяты, чтобы ты сам мог бы подумать о том, какие выводы сделать.

    [1] https://en.wikipedia.org/wiki/Goodhart%27s_law

    Я лично затрудняюсь делать выводы, потому что только по трём компаниям набрано достаточно данных, чтобы о чём-то рассуждать. А остальные... Не, ну 25 точек по linux'у это о чём-то говорит, но только если их совокупно рассматривать, а если их разбить по годам, то там меньше 15 точек за год выходит, и всего три года, все эти результаты могут быть случайным выбросом. Хотя... не, ну тут надо считать, какова вероятность получить снижение два года подряд, ежели просто эти точки генерить рандомом по Пуассону? За один год получить снижение -- это 50/50, а если два снижения за два года?

    Вот в целом, по всем если смотреть, то да, можно судить о том, что время реакции сокращается: чтобы получить случайным образом снижение в девяти категориях да ещё и два года подряд, это надо быть очень везучим человеком. Но по любому одному конкретно, кроме троицы Apple, MS, Google, я б не рискнул высказываться.

     

  • 1.22, ranen (?), 12:42, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Chrome - 40
    Firefox - 8
    WebKit - 27
    Интересно, такая разница в числе проблем! Ладно хром, но между WebKit и Firefox?
     
     
  • 2.31, . (?), 15:53, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "нет браузера - нет проблем" (C)
     
  • 2.34, Аноним (34), 16:38, 14/02/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А нафига Гуглу в чужом браузере проблемы искать? Это Мозилла пусть ищет. Ой, искать-то не кому, зарплата security team в зарплату Mitchel Baker пошла. Но проблемы Мозиллы Гугл не волнуют.
     

  • 1.29, Аноним (29), 14:37, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Firefox-8, нет браузера - нет проблем.
     
  • 1.38, Kuromi (ok), 18:53, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Из производителей браузеров наиболее оперативно исправление формируются для Chrome, но релиз после появления исправления быстрее формирует Firefox"

    Тут еще надо учесть, что исправление безопасности практически сразу же (как только сделают патч) прилетает в Nightly, так что в ней выходит безопаснее всего сидеть, так как дыры ищут в релизных версиях, а на ночнушке эксплойты чаще всего не срабатывают.

     
  • 1.39, Kuromi (ok), 18:55, 14/02/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Полагаю после того как Adobe похоронили Flash число уязвимостей им принадлежащих резко уменьшилось.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру