{"id":262795,"date":"2022-02-21T15:03:24","date_gmt":"2022-02-21T14:03:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262795"},"modified":"2022-02-21T17:52:25","modified_gmt":"2022-02-21T16:52:25","slug":"linux-schwachstellen-werden-am-schnellsten-gepatcht-feb-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/21\/linux-schwachstellen-werden-am-schnellsten-gepatcht-feb-2022\/","title":{"rendered":"Linux-Schwachstellen werden am schnellsten gepatcht (Feb. 2022)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/02\/21\/linux-schwachstellen-werden-am-schnellsten-gepatcht-feb-2022\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Es wird ja immer wieder diskutiert, wie schnell oder wie langsam Schwachstellen durch die Entwickler gepatcht werden. Im Google Project Zero hat man sich daher mal angesehen, wie schnell Sicherheitsl\u00fccken in Linux oder in Produkten von Microsoft (Windows) sowie bei Apple (macOS) geschlossen werden. Es geht dabei um vom Project Zero zwischen 2019 und 2021 an die Hersteller\/Entwickler gemeldete Schwachstellen. Das Ergebnis: Die Linux-Entwickler patchen dabei mit Abstand am schnellsten.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/c9c0a1b9abd040709ce57fbccc30fa4d\" alt=\"\" width=\"1\" height=\"1\" \/>Die betreffende Auswertung des Teams findet sich in <a href=\"https:\/\/googleprojectzero.blogspot.com\/2022\/02\/a-walk-through-project-zero-metrics.html\" target=\"_blank\" rel=\"noopener\">dieser Ver\u00f6ffentlichung<\/a>, wo als erstes festgestellt wird, dass sich die Patchgeschwindigkeit von Schwachstellen in den letzten drei Jahren stark beschleunigt habe. Im Jahr 2021 ben\u00f6tigten die Anbieter durchschnittlich 52 Tage, um die im Rahmen von Project Zero gemeldeten Sicherheitsl\u00fccken zu schlie\u00dfen. Dies ist eine deutliche Beschleunigung gegen\u00fcber einem Durchschnitt von 80 Tagen vor drei Jahren.<\/p>\n<p>Auch konnten die Entwickler die vom Google Project Zero gew\u00e4hrte 90 t\u00e4gige Frist zur Offenlegung (zuz\u00fcglich einer auf Antrag gew\u00e4hrten 14 t\u00e4gigen Verl\u00e4ngerung) bis auf einen Fall im Jahr 2021 einhalten. Nur 14 % der gemeldeten Schwachstellen ben\u00f6tigten eine 14 t\u00e4gige Verl\u00e4ngerung bis zur Bereitstellung eines Sicherheitsupdates.<\/p>\n<p>Zwischen 2019 und 2021 meldete Project Zero 376 Probleme an die Anbieter und gew\u00e4hrte eine Dead-Line von 90 Tagen bis zur Offenlegung einer 0-day-Schwachstelle. Interessant sind die Ergebnisse:<\/p>\n<ul>\n<li>351 (93,4 %) dieser Fehler wurden behoben, w\u00e4hrend 14 (3,7 %) von den Herstellern als \"nicht behoben\" markiert wurden.<\/li>\n<li>11 (2,9 %) andere Fehler wurden noch nicht behoben, wobei zum Zeitpunkt der Erstellung dieses Berichts 8 Fehler die Frist f\u00fcr ihre Behebung \u00fcberschritten haben; die restlichen 3 Fehler befinden sich noch innerhalb der Frist f\u00fcr ihre Behebung.<\/li>\n<\/ul>\n<p>Die meisten Schwachstellen konzentrieren sich auf einige wenige Hersteller:<\/p>\n<ul>\n<li>96 Fehler (26 %) wurden Microsoft,<\/li>\n<li>85 (23 %) Apple und<\/li>\n<li>60 (16 %) wurden Google<\/li>\n<\/ul>\n<p>gemeldet. Interessant ist die Geschwindigkeit, mit der gemeldete Schwachstellen zwischen 2019 und 2021 gepatcht wurden:<\/p>\n<ul>\n<li>Linux: 15 Tage<\/li>\n<li>Google: 44 Tage<\/li>\n<li>Mozilla;\u00a0 46 Tage<\/li>\n<li>Apple: 69 Tage<\/li>\n<li>Microsoft: 83 Tage<\/li>\n<li>Oracle: 109 Tage<\/li>\n<\/ul>\n<p>Hier noch die betreffende Tabelle aus der Google Project Zero-Ver\u00f6ffentlichung.<\/p>\n<p><img decoding=\"async\" title=\"Fixes f\u00fcr 9-days\" src=\"https:\/\/i.imgur.com\/YYUWMHC.png\" alt=\"Fixes f\u00fcr 9-days\" \/><\/p>\n<p>Nur auf das Jahr 2021 bezogen hat das Projekt folgende Zahlen ver\u00f6ffentlicht:<\/p>\n<ul>\n<li>Linux: 5 Bugs, Fix in 15 Tagen<\/li>\n<li>Google: 17 Bugs, Fix in 53 Tagen<\/li>\n<li>Apple: 11\u00a0 Bugs, Fix in 64 Tagen<\/li>\n<li>Microsoft: 16\u00a0\u00a0 Bugs, Fix in 76 Tagen<\/li>\n<\/ul>\n<p>Also auch hier ein Bild, das Linux weit vorne liegt, was die Zeit zum Beheben von Schwachstellen betrifft. Im <a href=\"https:\/\/googleprojectzero.blogspot.com\/2022\/02\/a-walk-through-project-zero-metrics.html\" target=\"_blank\" rel=\"noopener\">Google Project Zero Artikel<\/a> finden sich weitere Zahlen zum Beheben von Schwachstellen in Browsern oder in Mobilger\u00e4te-Betriebssystemen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Es wird ja immer wieder diskutiert, wie schnell oder wie langsam Schwachstellen durch die Entwickler gepatcht werden. Im Google Project Zero hat man sich daher mal angesehen, wie schnell Sicherheitsl\u00fccken in Linux oder in Produkten von Microsoft (Windows) sowie bei &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/02\/21\/linux-schwachstellen-werden-am-schnellsten-gepatcht-feb-2022\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185],"tags":[4328,4315],"class_list":["post-262795","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262795","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262795"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262795\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262795"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262795"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262795"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}