Linux-Schwachstellen werden am schnellsten gepatcht (Feb. 2022)

Sicherheit (Pexels, allgemeine Nutzung)[English]Es wird ja immer wieder diskutiert, wie schnell oder wie langsam Schwachstellen durch die Entwickler gepatcht werden. Im Google Project Zero hat man sich daher mal angesehen, wie schnell Sicherheitslücken in Linux oder in Produkten von Microsoft (Windows) sowie bei Apple (macOS) geschlossen werden. Es geht dabei um vom Project Zero zwischen 2019 und 2021 an die Hersteller/Entwickler gemeldete Schwachstellen. Das Ergebnis: Die Linux-Entwickler patchen dabei mit Abstand am schnellsten.


Anzeige

Die betreffende Auswertung des Teams findet sich in dieser Veröffentlichung, wo als erstes festgestellt wird, dass sich die Patchgeschwindigkeit von Schwachstellen in den letzten drei Jahren stark beschleunigt habe. Im Jahr 2021 benötigten die Anbieter durchschnittlich 52 Tage, um die im Rahmen von Project Zero gemeldeten Sicherheitslücken zu schließen. Dies ist eine deutliche Beschleunigung gegenüber einem Durchschnitt von 80 Tagen vor drei Jahren.

Auch konnten die Entwickler die vom Google Project Zero gewährte 90 tägige Frist zur Offenlegung (zuzüglich einer auf Antrag gewährten 14 tägigen Verlängerung) bis auf einen Fall im Jahr 2021 einhalten. Nur 14 % der gemeldeten Schwachstellen benötigten eine 14 tägige Verlängerung bis zur Bereitstellung eines Sicherheitsupdates.

Zwischen 2019 und 2021 meldete Project Zero 376 Probleme an die Anbieter und gewährte eine Dead-Line von 90 Tagen bis zur Offenlegung einer 0-day-Schwachstelle. Interessant sind die Ergebnisse:

  • 351 (93,4 %) dieser Fehler wurden behoben, während 14 (3,7 %) von den Herstellern als "nicht behoben" markiert wurden.
  • 11 (2,9 %) andere Fehler wurden noch nicht behoben, wobei zum Zeitpunkt der Erstellung dieses Berichts 8 Fehler die Frist für ihre Behebung überschritten haben; die restlichen 3 Fehler befinden sich noch innerhalb der Frist für ihre Behebung.

Die meisten Schwachstellen konzentrieren sich auf einige wenige Hersteller:

  • 96 Fehler (26 %) wurden Microsoft,
  • 85 (23 %) Apple und
  • 60 (16 %) wurden Google

gemeldet. Interessant ist die Geschwindigkeit, mit der gemeldete Schwachstellen zwischen 2019 und 2021 gepatcht wurden:

  • Linux: 15 Tage
  • Google: 44 Tage
  • Mozilla;  46 Tage
  • Apple: 69 Tage
  • Microsoft: 83 Tage
  • Oracle: 109 Tage

Hier noch die betreffende Tabelle aus der Google Project Zero-Veröffentlichung.

Fixes für 9-days

Nur auf das Jahr 2021 bezogen hat das Projekt folgende Zahlen veröffentlicht:


Anzeige

  • Linux: 5 Bugs, Fix in 15 Tagen
  • Google: 17 Bugs, Fix in 53 Tagen
  • Apple: 11  Bugs, Fix in 64 Tagen
  • Microsoft: 16   Bugs, Fix in 76 Tagen

Also auch hier ein Bild, das Linux weit vorne liegt, was die Zeit zum Beheben von Schwachstellen betrifft. Im Google Project Zero Artikel finden sich weitere Zahlen zum Beheben von Schwachstellen in Browsern oder in Mobilgeräte-Betriebssystemen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Linux-Schwachstellen werden am schnellsten gepatcht (Feb. 2022)

  1. Cestmoi sagt:

    Betr.: "Vendor … Linux":

    Neben Kernel und Distribution nun auch noch Vendor? Begrifflich scharf geht anders.

    Selbst wenn 'Linux' tatsächlich Spitzenreiter wäre, heisst das wenig. Quick 'n dirty s. https://www.darkreading.com/application-security/79–of-third-party-libraries-in-apps-are-never-updated/d/d-id/1341383

  2. mvo sagt:

    Ein Durchschnittswert ist wenig aussagekräftig, wenn schwere Sicherheitslücken über Jahre ungepatched bleiben. Auch stellt sich die Frage,, was man überhaupt dem "Lager Linux" zurechnet. Streng genommen ja nur den Kernel.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.