【唯快不破】Google Project Zero統計報告出爐 零日漏洞平均須52日修補

    網絡安全團隊 Project Zero 發表最新統計報告,顯示現時 IT 公司對推出安全更新的速度愈來愈快,在 2021 年經團隊舉報的所有漏洞中,平均只須 52 日便有安全更新推出。而在 90 + 14 日的寬限期政策下,只得 5% 個案未能完成漏洞修補,對企業來說自然是好消息!

    Google Project Zero 是 Google 旗下一隊專門針對發掘各種零日漏洞(Zero Day Vulnerabilities)的團隊,成立於 2014 年。零日漏洞是指一些未被開發商或安全業界發現的漏洞,不過未發現並不等於無人知,如漏洞搶先被黑客發現,使用該硬件或軟件的企業或個人用家,便有可能成為被攻擊對象,因此積極發掘零日漏洞是其中一個有效提升防禦力的途徑。Google Project Zero 為了迫使開發商盡快修補漏洞,於 2019 年開始推出 90 日寛限期政策,向開發商舉報漏洞後,如對方未能在 90 日內修補,團隊便會公布漏洞詳情及過程中開發商對漏洞的回應態度。其後團隊又再加14日額外寛限期,只能開發商能在 104 日內推出安全更新,團隊便會額外多給時間讓用家安裝更新才公布細節,減少黑客在這段期間內搶先進攻。

    政策推出三年,團隊最新公開統計報告,以顯示政策的成效。在過去三年中團隊一共發現 346 個漏洞,約 93% 都能在雙重寬限期內推出安全更新,當中更有 84% 漏洞能在 90 日內完成更新,另外只有 3% 開發商因種種原因而表示不會修補漏洞。Microsoft、Apple及 Google 三間公司共佔全部漏洞的 65%,當中以 Microsoft 的 96 個排第一,排第二的分別是 Apple 有 85 個及Google有 60 個。團隊又指從統計數字顯示,Microsoft、Apple 及 Linux 的整體修補速度每年均在下降,相反 Google 雖然在 2020 年有加速,但來到 2021 年卻有輕微減慢速度。

    手機作業系統方面,最多漏洞被發現的開發商為 Apple,被舉報的 iOS 漏洞共有 76 個,Samsung 的 Android 及 Pixel Android 則各有位 10 及 6 個。而在瀏覽器方面,Chrome 有 40 漏洞,平均修補時間僅 5.3 日,Safari 及 Firefox 的平均修補日數為 11.6 及 16.6 日,反映修補時間未及 Chrome 迅速。特別是 Safari 其中一個漏洞需時 73 日才能推出更新檔,團隊解釋以現時黑客利用零日漏洞的時間愈來愈快,73 日這數字便有很大改善空間。

    資源來源:https://zd.net/3I36uYA

    相關文章:【問你點防?】研究:勒索軟件團體已有足夠金錢購買零日漏洞作攻擊
    https://www.wepro180.com/zeroday211119/

    #google #ProjectZero #vulnerables #零日漏洞

    相關文章