[English]Es wird ja immer wieder diskutiert, wie schnell oder wie langsam Schwachstellen durch die Entwickler gepatcht werden. Im Google Project Zero hat man sich daher mal angesehen, wie schnell Sicherheitslücken in Linux oder in Produkten von Microsoft (Windows) sowie bei Apple (macOS) geschlossen werden. Es geht dabei um vom Project Zero zwischen 2019 und 2021 an die Hersteller/Entwickler gemeldete Schwachstellen. Das Ergebnis: Die Linux-Entwickler patchen dabei mit Abstand am schnellsten.
Anzeige
Die betreffende Auswertung des Teams findet sich in dieser Veröffentlichung, wo als erstes festgestellt wird, dass sich die Patchgeschwindigkeit von Schwachstellen in den letzten drei Jahren stark beschleunigt habe. Im Jahr 2021 benötigten die Anbieter durchschnittlich 52 Tage, um die im Rahmen von Project Zero gemeldeten Sicherheitslücken zu schließen. Dies ist eine deutliche Beschleunigung gegenüber einem Durchschnitt von 80 Tagen vor drei Jahren.
Auch konnten die Entwickler die vom Google Project Zero gewährte 90 tägige Frist zur Offenlegung (zuzüglich einer auf Antrag gewährten 14 tägigen Verlängerung) bis auf einen Fall im Jahr 2021 einhalten. Nur 14 % der gemeldeten Schwachstellen benötigten eine 14 tägige Verlängerung bis zur Bereitstellung eines Sicherheitsupdates.
Zwischen 2019 und 2021 meldete Project Zero 376 Probleme an die Anbieter und gewährte eine Dead-Line von 90 Tagen bis zur Offenlegung einer 0-day-Schwachstelle. Interessant sind die Ergebnisse:
- 351 (93,4 %) dieser Fehler wurden behoben, während 14 (3,7 %) von den Herstellern als "nicht behoben" markiert wurden.
- 11 (2,9 %) andere Fehler wurden noch nicht behoben, wobei zum Zeitpunkt der Erstellung dieses Berichts 8 Fehler die Frist für ihre Behebung überschritten haben; die restlichen 3 Fehler befinden sich noch innerhalb der Frist für ihre Behebung.
Die meisten Schwachstellen konzentrieren sich auf einige wenige Hersteller:
Anzeige
- 96 Fehler (26 %) wurden Microsoft,
- 85 (23 %) Apple und
- 60 (16 %) wurden Google
gemeldet. Interessant ist die Geschwindigkeit, mit der gemeldete Schwachstellen zwischen 2019 und 2021 gepatcht wurden:
- Linux: 15 Tage
- Google: 44 Tage
- Mozilla; 46 Tage
- Apple: 69 Tage
- Microsoft: 83 Tage
- Oracle: 109 Tage
Hier noch die betreffende Tabelle aus der Google Project Zero-Veröffentlichung.
Nur auf das Jahr 2021 bezogen hat das Projekt folgende Zahlen veröffentlicht:
- Linux: 5 Bugs, Fix in 15 Tagen
- Google: 17 Bugs, Fix in 53 Tagen
- Apple: 11 Bugs, Fix in 64 Tagen
- Microsoft: 16 Bugs, Fix in 76 Tagen
Also auch hier ein Bild, das Linux weit vorne liegt, was die Zeit zum Beheben von Schwachstellen betrifft. Im Google Project Zero Artikel finden sich weitere Zahlen zum Beheben von Schwachstellen in Browsern oder in Mobilgeräte-Betriebssystemen.
Anzeige
Betr.: "Vendor … Linux":
Neben Kernel und Distribution nun auch noch Vendor? Begrifflich scharf geht anders.
Selbst wenn 'Linux' tatsächlich Spitzenreiter wäre, heisst das wenig. Quick 'n dirty s. https://www.darkreading.com/application-security/79–of-third-party-libraries-in-apps-are-never-updated/d/d-id/1341383
Ein Durchschnittswert ist wenig aussagekräftig, wenn schwere Sicherheitslücken über Jahre ungepatched bleiben. Auch stellt sich die Frage,, was man überhaupt dem "Lager Linux" zurechnet. Streng genommen ja nur den Kernel.