Google Project Zero: Satıcılar Artık Zero Day Düzeltmede Daha Hızlı

Google Project Zero, kuruluşların ekibin geçen yıl bildirdiği sıfırıncı gün güvenlik açıklarını gidermek için daha az zaman aldığını gösteren bir rapor yayınladı.

Verilerin gösterdiği gibi, yazılım satıcılarının geçen yıl Project Zero tarafından bildirilen güvenlik düzeltmelerini yayınlamak için ihtiyaç duydukları ortalama süre, üç yıl önceki 80 günden 52 güne düştü.

Ayrıca, neredeyse tüm satıcılar kusuru 90 günlük standart endüstri son teslim tarihi artı iki haftalık ödemesiz süre içinde ele aldı.

Göz ardı edemeyeceğiniz kusurlar

Sıfır gün güvenlik açıkları, keşfedildikleri sırada yazılım geliştiricisi tarafından bilinmeyen veya bilinen ancak yamalanmamış güvenlik sorunlarıdır.

Genellikle bilgisayar korsanlarına bir yama çıktıktan sonra bile bir fırsat penceresi sunarlar çünkü herkes sorunu hemen çözemez.

Bu nedenle, sıfır gün güvenlik açığı raporlarına hızlı bir şekilde yanıt vermek son derece önemlidir ve aynı zamanda yazılım satıcılarının ürünlerinin güvenliği konusunda ne kadar ciddi olduklarını, geliştirme döngüsünde ne kadar verimli olduklarını da gösterir.

Google Project Zero: Satıcılar Artık Zero Day Düzeltmede Daha Hızlı Click to Tweet

Bunları keşfeden güvenlik analistleri için ifşa süresi süresiz olarak uzatılamaz, çünkü her zaman onları ilk öğrenen kişi olmama ihtimalleri vardır.

Sıfır gün manzarası

Project Zero'dan 376 sıfır gün bulgu ve raporuna dayanan 2019-2021 istatistiklerine göre, %26'sı Microsoft, %23'ü Apple ve %16'sı Google'ı ilgilendiriyor.

Bu üç yazılım devi, yazılım ürünlerinin karmaşıklığını ve yüksek hacmini yansıtan toplam bulguların %65'ini oluşturuyor ve aksi takdirde kalabalık ve yetenekli güvenlik ekipleri için kaçınılmaz olarak boşluklar veya karanlık noktalar yaratıyor.

Son teslim tarihi içinde yama açısından en iyi performans gösterenler Linux, Mozilla ve Google iken, en kötüleri Oracle, Microsoft ve Samsung idi. Microsoft ayrıca, ödemesiz süre içinde en fazla düzeltmeye sahipti ve bunları halka açıklanmadan hemen önce marjinal olarak zorladı.

Son derece rekabetçi mobil işletim sistemi alanında Google, hem iOS hem de Android'den aynı performansı bildiriyor; birincisi ortalama düzeltme süresi 70 gün, ikincisi ise 72 güne ihtiyaç duyuyor.

Web tarayıcısı kategorisinde Chrome 29,9 günlük ortalama hata düzeltme süresiyle herkesi geride bırakırken, Firefox 37,8 günle ikinci sırada yer alıyor.

project-zero-browsers — Tarayıcı sıfır gün düzeltme performansı (Google)

Apple, son birkaç yıldır Safari'yi rahatsız eden ve ortalama 72.7 güne ihtiyaç duyan WebKit kusurlarını düzeltmek için bu sürenin iki katından fazlasını aldı.

project-zero-days-to-fix — Zaman açısından yama farkını gösteren diyagram (Google)

Google'ın Project Zero ekibinin raporda belirttiği gibi:

WebKit, 73 günde bir yama yayınlamak için en uzun gün sayısıyla bu analizdeki aykırı değerdir. Düzeltmeyi herkese açık olarak indirme süreleri Chrome ve Firefox arasında ortada, ancak ne yazık ki bu, fırsatçı saldırganların düzeltme ekini bulması ve düzeltmenin kullanıcılara sunulmasından önce onu kullanması için çok uzun bir süre kalıyor.

Sonuç olarak, Google'ın güvenlik analistleri bazı açık iyileştirme işaretleri gördüler, ancak rakipler yeni bir saldırı yolu bulma şansı için hata raporlarına dikkat ettikleri için satıcılar gelecekte daha fazlasını yapabilir ve yapmalıdır.

Kaynak: https://www.bleepingcomputer.com/news/security/google-project-zero-vendors-are-now-quicker-at-fixing-zero-days/

Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.

Şubat 12, 2022 Lale Çorumlu

Lale Çorumlu