谷歌Project Zero报告称殷墟、微软、三星修复零日漏洞效果最差

据 Google 的 Project Zero年度报告称，与上次相对来说，民间组织正在愈来愈快地化解零日安全漏洞。软件包服务商平均值需要52天来化解零重大项目年度报告的安全漏洞，而3之前的平均值一段时间约为80天。

好消息是整修安全漏洞的平均值一段时间远略低于90天的再一有效期，研究技术人员还观察到错过再一有效期（或额外的14 天宽限期）的服务商需求量显著减少 。雅虎零重大项目研究技术人员年度报告称，在2021年，只有一种情况下服务商至少了再一有效期，而14%的误解需要宽限期。

“2019年至2021年之间，零重大项目在我们标准的90天有效期害羞服务商年度报告了376个问题。这些误解当中的351个(93.4%) 已整修，而服务商已将14个 (3.7%) 标记为 WontFix。11个 (2.9%) 其他误解仍未整修，尽管在执笔本文时 8 个已过了整修有效期；其余 3 个仍属于整修有效期内。” 读到雅虎释出的年度报告。“大多数安全漏洞都集当中在少数服务商周围，向开发者年度报告了 96 个误解 (26%)，向苹果年度报告了 85 个 (23%)，向雅虎年度报告了 60 个 (16%)。”

下表包括自2019年1年初以来，零重大项目在90天有效期害羞服务商年度报告并已整修的所有安全漏洞。

Linux、Mozilla 和 Google 是化解该安全漏洞最有效的民间组织，而最差的是商代、开发者和Samsung。

Google Project Zero还分析了移动操作系统的零日这两项，iOS和 Android 整修安全漏洞的平均值一段时间相同，平均值整修一段时间分别为70天和72天。

“首先要特别注意的是，在这段一段时间之当中，iOS寄出的来自零重大项目的误解年度报告其实比任何旧版本的 Android都愈来愈少，但这并不是研究目标选择的不平衡，这愈来愈多地反映了Apple的销售方式为软件包。iMessage、Facetime 和Safari/WebKit 等“软件中”的安全愈来愈新都作为操作系统愈来愈新的一部分包括，因此我们将这些愈来愈新包括在操作系统的分析当中。另一方面，Android 上单一软件中的安全愈来愈新是通过 Google Play 商店完成的，因此不包括在此分析当中。尽管如此，所有三个服务商的平均值整修一段时间都非常相同。”

在处理事件网络浏览器时，Chrome 的平均值 bug 整修周期性最短，为29.9天，而WebKit安全漏洞平均值需要72.7天。

“在过去三年当中，服务商在很大程度上加速了他们的补丁程序中，有利于将总体平均值整修一段时间大大缩短到了大约52天。2021年，只有一个90天的有效期被至少。”

这种近年来可能是由于负责任的披露政策已成为行业事实上的标准，服务商愈来愈有能力对各有不同有效期的年度报告得出结论快速反应。并且服务商们已经彼此之间学习了最佳概念化，该行业的透明度越来越高。

E周观察-安全威胁情报新闻报

加拿大CISA警告立即化解 SAP ICMAD 严重安全漏洞

沃达丰葡萄牙屡遭网络攻击致全国高校断网

活跃的APT民间组织正针对土耳其私人民间组织和当局展开攻击

阔别三年，强大的希腊黑客开发团队PGA遵从报导，揭发黑客开发团队背后剧情

加拿大医疗机构屡遭假冒软件包攻击迫使支付赎金

加拿大CISA新增17个被积极利用的安全漏洞