Linux-Entwickler patchen am schnellsten

Welcher Softwareanbieter reagiert am schnellsten, wenn es darum geht, Zero-Day-Schwachstellen zu beheben? Sicherheitsforschende von Googles Project Zero haben die Antwort darauf in einem Bericht veröffentlicht. Die Forschenden werteten Daten zu Schwachstellen aus, die sie zwischen Januar 2019 und Dezember 2021 entdeckten.

In diesem Zeitraum meldete Project Zero insgesamt 346 Schwachstellen, von denen 84 die Lösungen von Apple, 80 die von Microsoft, 56 die von Google und 25 die von Linux betrafen.

Den Ergebnissen zufolge beheben Linux-Entwickler die Sicherheitslücken am schnellsten, und zwar innerhalb einer durchschnittlichen Frist von 25 Tagen. Google brauchte im Schnitt 44 Tage, Apple 69 Tage und Microsoft 83 Tage. Oracle schneidet mit einer durchschnittlichen Frist von 109 Tagen am schlechtesten ab – allerdings verzeichneten die Google-Forschenden im Untersuchungszeitraum nur 7 Schwachstellen, die Oracle-Dienste betroffen hatten.

Gemäss Project Zero haben Softwareanbieter standardmässig 90 Tage Zeit, um einen Patch für eine gemeldete Sicherheitslücke zu veröffentlichen. Nach Verstreichen dieser Deadline ist es Usus, die Schwachstelle öffentlich bekannt zu machen. Die betroffenen Anbieter können allerdings eine Gnadenfrist von 14 Tagen beantragen, sofern sie versichern, dass die Veröffentlichung eines Patches geplant ist. Vor allem Apple und Microsoft würden häufig von dieser Gnadenfrist gebrauch machen, heisst es in den Ergebnissen von Googles Project Zero.

Übrigens: Die US-Cybersicherheitsbehörde CISA warnte kürzlich vor schwerwiegenden Sicherheitslücken in SAP-Anwendungen. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.