Die Sicherheitsspezialisten von Googles Project Zero haben verschiedene Metriken zur Handhabung von Zero-Day-Schwachstellen zusammengetragen und in einem
Bericht in ihrem Blog veröffentlicht. Demnach brauchten Hersteller im Jahr 2021 durchschnittlich 52 Tage, um eine Zero-Day-Schwachstelle zu schliessen. Vor drei Jahren waren es noch 80 Tage. Auch sei im letzten Jahr nur eine Schwachstelle nicht innerhalb der Deadline von 90 Tagen plus der 14-tägigen Karenzfrist geschlossen worden.
Aus dem Report geht auch hervor, dass es unter den Herstellern ziemlich grosse Unterschiede gibt, was die Reaktionszeiten angeht. So waren die Linux-Entwickler in den Jahren 2019 bis 2021 jeweils am schnellsten, wenn es um das Schliessen von Zero-Day-Lücken ging. Sie benötigten im Schnitt 25 Tage. Mit 44 Tagen schnitt auch
Google ziemlich gut ab.
Adobe brauchte durchschnittlich 65 Tage,
Apple deren 69 und
Samsung 72. Deutlich langsamer war hingegen
Microsoft mit durchschnittlich 83 Tagen bis zum Fix einer Zero-Day-Schwachstelle. Langsamer waren nur noch die Entwickler von
Oracle, die im Schnitt 109 Tage benötigten.
Eine weitere Statistik zeigt die Fehleranfälligkeit von mobilen Betriebssystemen. So wurden in iOS 76 Zero-Day-Schwachstellen gefunden und durchschnittlich innert 70 Tagen geschlossen. Android auf Samsung-Geräten wies 10 Zero-Day-Lücken auf, für deren Lösung im Schnitt 72 Tage aufgewendet wurden, genauso viele wie bei Android auf Pixel-Geräten.
(luc)