Die IT Security Forscher von Googles Project Zero haben für den Zeitraum von 2019 bis 2021 untersucht, wie schnell die Hersteller neu gefundene & ihnen gemeldete Sicherheitslücken behoben haben. Im Schnitt wurden die Lücken im Linux Kernel innerhalb 25 Tagen gepatcht. Bei Microsoft dauerte es mit durchschnittlich 83 Tagen mehr als 3 mal so lange. Am schlechtesten Schnitt Oracle mit 109 Tagen ab.
| Vendor | Total bugs | Fixed by day 90 | Fixed during grace period | Exceeded deadline & grace period | Avg days to fix |
|---|---|---|---|---|---|
| Apple | 84 | 73 (87%) | 7 (8%) | 4 (5%) | 69 |
| Microsoft | 80 | 61 (76%) | 15 (19%) | 4 (5%) | 83 |
| 56 | 53 (95%) | 2 (4%) | 1 (2%) | 44 | |
| Linux | 25 | 24 (96%) | 0 (0%) | 1 (4%) | 25 |
| Adobe | 19 | 15 (79%) | 4 (21%) | 0 (0%) | 65 |
| Mozilla | 10 | 9 (90%) | 1 (10%) | 0 (0%) | 46 |
| Samsung | 10 | 8 (80%) | 2 (20%) | 0 (0%) | 72 |
| Oracle | 7 | 3 (43%) | 0 (0%) | 4 (57%) | 109 |
| Others* | 55 | 48 (87%) | 3 (5%) | 4 (7%) | 44 |
| TOTAL | 346 | 294 (84%) | 34 (10%) | 18 (5%) | 61 |
Bei Mobiltelefonen der Hersteller Apple, Samsung & Google stehen die Updates im Schnitt nach 70 Tagen bereit:
| Vendor | Total bugs | Avg fix time |
|---|---|---|
| iOS | 76 | 70 |
| Android (Samsung) | 10 | 72 |
| Android (Pixel) | 6 | 72 |
Die Browser-Hersteller sind da etwas schneller, Chrome wird nach 30 Tagen gepatcht, Firefox nach 38 Tagen:
| Browser | Bugs | Avg days from bug report to public patch | Avg days from public patch to release | Avg days from bug report to release |
|---|---|---|---|---|
| Chrome | 40 | 5.3 | 24.6 | 29.9 |
| WebKit | 27 | 11.6 | 61.1 | 72.7 |
| Firefox | 8 | 16.6 | 21.1 | 37.8 |
| Total | 75 | 8.8 | 37.3 | 46.1 |
Wir patchen unsere Server übrigens täglich, sobald die Patches der Hersteller freigegeben und getestet worden sind.
