Google Project Zero: поставщики стали быстрее устранять «нулевые ошибки»

Белая версия Stadia от Google - иммерсивный поток для игр

Google Project Zero опубликовал отчет, показывающий, что организациям потребовалось меньше времени для устранения уязвимостей нулевого дня, о которых команда сообщила в прошлом году.

Как показывают данные, средний срок, необходимый поставщикам программного обеспечения для выпуска исправлений безопасности, о которых сообщил Project Zero, в прошлом году составил 52 дня, по сравнению с 80 днями три года назад.

Более того, почти все производители устранили дефект в стандартный для отрасли срок — 90 дней плюс две недели льготного периода.

Дефекты, которые нельзя игнорировать

Уязвимости нулевого дня — это проблемы безопасности, которые неизвестны разработчику программного обеспечения на момент их обнаружения или известны, но не исправлены.

Как правило, они предоставляют хакерам окно возможностей даже после появления исправления, поскольку не все могут немедленно устранить проблему.

Поэтому быстрое реагирование на сообщения об уязвимостях нулевого дня имеет огромное значение, а также демонстрирует, насколько серьезно производители программного обеспечения относятся к безопасности своих продуктов, насколько эффективно они выполняют цикл разработки.

Для аналитиков безопасности, которые их обнаруживают, срок раскрытия информации не может быть продлен до бесконечности, поскольку всегда есть шанс, что они не были первыми, кто о них узнал.

Ландшафт нулевого дня

Согласно статистике за 2019-2021 годы, основанной на 376 обнаруженных «нулевых днях» и отчетах Project Zero, 26% приходится на Microsoft, 23% — на Apple и 16% — на Google.

На долю этих трех гигантов программного обеспечения приходится 65% от общего числа находок, что отражает сложность и большой объем их программных продуктов, неизбежно создающих пробелы или темные пятна для их в остальном переполненных и способных команд безопасности.

Наилучшие показатели по исправлениям в установленные сроки показали Linux, Mozilla и Google, а наихудшие — Oracle, Microsoft и Samsung. Microsoft также выпустила больше всего исправлений в течение льготного периода, незначительно продвинув их непосредственно перед обнародованием.

В высококонкурентной сфере мобильных ОС Google сообщает об одинаковых показателях iOS и Android: у первой среднее время исправления составляет 70 дней, а второй требуется 72 дня.

В категории веб-браузеров Chrome опережает всех со средним сроком исправления ошибок 29,9 дней, а Firefox занимает второе место с 37,8 днями.

Apple потребовалось более чем в два раза больше времени для устранения дефектов WebKit, от которых страдает Safari в последние пару лет, в среднем 72,7 дня.

Как комментирует в отчете команда Google Project Zero:

WebKit является исключением в этом анализе, с самым большим количеством дней для выпуска исправления — 73 дня. По времени публичного выпуска исправлений они находятся посередине между Chrome и Firefox, но, к сожалению, это оставляет очень много времени для оппортунистических злоумышленников, чтобы найти исправление и использовать его до того, как оно станет доступно пользователям.

В заключение следует отметить, что аналитики безопасности Google заметили некоторые явные признаки улучшения, но производители могут и должны сделать больше в будущем, поскольку противники следят за сообщениями об ошибках, чтобы найти новый путь для атаки.

Последнее обновление 05.01.2023