Специалисты Google Project Zero представили отчет, согласно которому, в прошлом году организациям требовалось меньше времени для устранения 0-day уязвимостей, обнаруженных экспертами.
В среднем на исправление багов у компаний ходило 52 дня, тогда как еще три года назад им требовалось в среднем 80 дней. Таким образом, почти все производители устраняли уязвимости в течение принятого в индустрии срока — 90 дней.
Согласно статистике, собранной за 2019-2021 годы и основанной на 376 уязвимостях нулевого дня, обнаруженных экспертами Google Project Zero, 26% проблем касались продукции Microsoft, 23% — Apple и 16% — Google. То есть на трех софтверных гигантов пришлось 65% всех обнаруженных проблем, и, по словам экспертов, это хорошо отражает сложность и объем их программных продуктов, в которых неизбежно возникают «белые пятна», которые упускают даже многочисленные инженеры по безопасности.
В целом лучшими с точки зрения своевременного выпуска исправлений в отчете названы Linux, Mozilla и Google, а худшими — Oracle, Microsoft и Samsung.
В высококонкурентной области мобильных ОС iOS и Android идут рука об руку: для первой операционной системы среднее время исправления багов составляет 70 дней, у второй — 72 дня.
В категории браузеров Chrome превосходит всех конкурентов со средним периодом исправления ошибок в 29,9 дней, а Firefox занимает второе место с 37,8 днями. Apple, занимающей третье место, требовалось вдвое больше времени, чтобы устранять баги в WebKit: в среднем на это уходило 72,7 дня.
Эксперты Google Project Zero объясняют:
«В этом анализе WebKit является белой вороной с самым большим сроком, необходимым для выпуска патчей, — 73 дня. Время публикации исправлений [для WebKit] находится где-то посередине между Chrome и Firefox. К сожалению, это оставляет много времени для злоумышленников-оппортунистов, которые могут найти патч и эксплоит для проблемы раньше, чем исправление станет доступно для пользователей».