Hace algunos dias los investigadores del equipo de Google Project Zero dieron a conocer los resultados mediante un resumen de los datos sobre el tiempo de respuesta de los fabricantes ante el descubrimiento de nuevas vulnerabilidades en sus productos.
De acuerdo con la política de Google, se otorgan 90 días para eliminar las vulnerabilidades identificadas por los investigadores de Google Project Zero, antes de que estas sean divulgadas, además, de que tambien se concede de que una divulgación pública adicional puede cambiarse por otros 14 días con una solicitud por separado.
Con lo cual básicamente, después de 104 días, la vulnerabilidad se revela incluso si el problema sigue sin parchearse.
De 2019 a 2021, el proyecto identificó 376 problemas, de los cuales 351 (93,4%) fueron corregidos, mientras que 11 (2,9 %) vulnerabilidades permanecieron sin parches y otros 14 (3,7 %) problemas se marcaron como irreparables (WontFix).
A lo largo de los años, ha habido una disminución en la cantidad de vulnerabilidades para las que los parches no encajan dentro del tiempo asignado para parchear: en 2021, el 14 % solicitó 14 días adicionales para parchear y solo una vulnerabilidad no se parchó antes de la divulgación.
Para esta publicación, observamos los errores corregidos que se informaron entre enero de 2019 y diciembre de 2021 (2019 es el año en que hicimos cambios en nuestras políticas de divulgación y también comenzamos a registrar métricas más detalladas sobre nuestros errores informados).
Los datos a los que haremos referencia están disponibles públicamente en Project Zero Bug Tracker y en varios repositorios de proyectos de código abierto (en el caso de los datos que se usan a continuación para rastrear la línea de tiempo de los errores del navegador de código abierto).
Vendor | Total bugs | Fixed by day 90 | Fixed during | Exceeded deadline & grace period | Avg days to fix |
Apple | 84 | 73 (87%) | 7 (8%) | 4 (5%) | 69 |
Microsoft | 80 | 61 (76%) | 15 (19%) | 4 (5%) | 83 |
56 | 53 (95%) | 2 (4%) | 1 (2%) | 44 | |
Linux | 25 | 24 (96%) | 0 (0%) | 1 (4%) | 25 |
Adobe | 19 | 15 (79%) | 4 (21%) | 0 (0%) | 65 |
Mozilla | 10 | 9 (90%) | 1 (10%) | 0 (0%) | 46 |
Samsung | 10 | 8 (80%) | 2 (20%) | 0 (0%) | 72 |
Oracle | 7 | 3 (43%) | 0 (0%) | 4 (57%) | 109 |
Others* | 55 | 48 (87%) | 3 (5%) | 4 (7%) | 44 |
TOTAL | 346 | 294 (84%) | 34 (10%) | 18 (5%) | 61 |
En promedio, se menciona que tomo como media de 52 días reparar una vulnerabilidad en 2021, 54 días en 2020, 67 días en 2019 y 80 días en 2018.
Por la parte de las vulnerabilidades que se repararon más rápidamente se destaca que son en el kernel de Linux y se menciona que es un promedio de 15, 22 y 32 días en 2021, 2020 y 2019.
Mientras que Microsoft fue el más lento en lanzar un parche, tardando un promedio de 76, 87 y 85 días en hacerlo (según la primera tabla con un tiempo total, Oracle fue más lento en responder: 109 días en hacerlo). Apple tardó un promedio de 64, 63 y 71 días en solucionarlo. En los productos de Google, el tiempo promedio para generar parches a lo largo de los años fue de 53, 22 y 49 días.
Hay una serie de advertencias con nuestros datos, la mayor de las cuales es que analizaremos una pequeña cantidad de muestras, por lo que las diferencias en los números pueden o no ser estadísticamente significativas.
Además, la dirección de la investigación de Project Zero está influenciada casi por completo por las elecciones de los investigadores individuales, por lo que los cambios en nuestros objetivos de investigación podrían cambiar las métricas tanto como lo harían los cambios en los comportamientos de los proveedores. En la medida de lo posible, esta publicación está diseñada para ser una presentación objetiva de los datos, con un análisis subjetivo adicional incluido al final.
De los fabricantes de navegadores, las correcciones se generan más rápidamente para Chrome, pero el lanzamiento después de la aparición de la corrección genera Firefox más rápido (en Chrome y Safari, la vulnerabilidad ya corregida en el código permanece sin mostrarse a los usuarios durante mucho tiempo, lo cual es utilizado por los atacantes).
Por último se menciona que con el paso del tiempo los proveedores corrigen casi todos los errores que reciben y por lo general, lo hacen dentro del plazo de 90 días más el período de gracia de 14 días cuando es necesario.
Durante los últimos tres años, los proveedores, en su mayor parte, han acelerado su parche reduciendo efectivamente el tiempo promedio general para corregir a aproximadamente 52 días.
Finalmente, si estás interesado en poder conocer más al respecto puedes consultar los detalles en el siguiente enlace.
Fuente obtenida de: https://blog.desdelinux.net/las-vulnerabilidades-en-linux-son-las-mas-rapidas-en-arreglar-segun-un-informe-de-google-project-zero/
