圖片來源: 

Google Project Zero

Google Project Zero上周公布2021年及最近3年來,由該專案所揭露的零時差漏洞,指出業者修補零時差漏洞的間隔愈來愈短,從2018年的平均80天,逐年下滑至67天、54天,到去年大家修補零時差漏洞的平均時間已減少至52天。

Project Zero一向秉持90天的漏洞揭露政策,亦即在提交零時差漏洞報告予相關業者之後,釋出90天的緩衝期供業者修補,若來不及修補還能申請額外14天的寬限期,該專案在2021年總計提交了63個零時差漏洞,當中有14%的漏洞申請了寬限期,也只有1個漏洞沒來得及在90天內修補,平均修補時間為52天。

去年Google揭露的63個零時差漏洞中,有17個位於自家產品中,16個位於微軟產品,11個存在於蘋果產品,還有5個是Linux漏洞,另外14個則屬於其它業者。修補動作最快的是Linux,平均15天就修補完了,Google花了53天,蘋果花了64天,微軟最久,平均花了76天來修補漏洞。

該專案也揭露了這3年來零時差漏洞數量的變化,顯示Project Zero所發現的零時差漏洞愈來愈少,原因之一可能是各大業者推出的抓漏獎勵專案發揮了功效,2019年時,Project Zero總計發現199個零時差漏洞,2020年降至87個,去年再減少至63個。

若是歸納這3年總計351個零時差漏洞的修補狀況,這些漏洞中主要來自微軟(96個)、蘋果(85個)及Google(60個),當中有93.4%的漏洞已被修補,3.7%是業者拒絕修補,另有2.9%未修補。

也許是為了彰顯自家的優勢,Project Zero特別統計了三大開源瀏覽器Chrome、WebKit與Firefox最近這幾年的零時差漏洞及平均修補時間,其中,Chrome總計有40個零時差漏洞,平均修補時間為29.9天,WebKit有27個漏洞,平均修補時間為72.7天,Firefox有8個漏洞,平均修補時間為37.8天。

熱門新聞

Advertisement