Google Project Zero: Vendors are now quicker at fixing zero-days
2022/02/11 BleepingComputer — Google の Project Zero は、2021年において同チームが報告したゼロデイ脆弱性について、それぞれの組織が対応に要した時間の短縮示すレポートを発表した。この Project Zero が報告したデータによると、ソフトウェア・ベンダーがセキュリティ修正プログラムの発行に要した平均期間は、2017年の 80日から、2021年は 52日に短縮された。さらに、大半のベンダーが、業界標準の期限である90日と、2週間の猶予期間内に、欠陥に対処した。
無視できない脆弱性
ゼロデイ脆弱性とは、発見された時点ではソフトウェア開発者が認識していない、もしくは、認識されてもパッチが適用されていない、セキュリティ上の問題のことである。ゼロデイ脆弱性の問題点は、すぐに解決できないため、パッチが利用可能になった後も、ハッカーにチャンスを与えるのが一般的である。
そのため、ソフトウェア・ベンダーにとって、ゼロデイ脆弱性の報告への迅速な対応が何よりも重要であり、セキュリティへの取り組みの真剣さや、開発サイクルの効率化などのレベルを示すものでもある。また、脆弱性を発見したセキュリティ・アナリストにとっては、最初に発見したのが自分ではない可能性が存在するため、公開期間を無期限に延長することはできない。
ゼロデイの状況
Project Zeroで発見された 376件のゼロデイ脆弱性に基づく、2019〜2021年の統計によると、26% が Microsoft、23% が Apple、16% が Google に関係している。この数字は、ソフトウェア製品の複雑さと量を反映したものであり、大規模で有能なセキュリティ・チームであっても、ギャップやダークス・ポットが必然的に生じることを意味している。
.jpg)
期限内にパッチを当てた件数が最も多かったのは、Linux/Mozilla/Google であり、最も少なかったのは Oracle/Microsoft/Samsung だった。また、Microsoft は猶予期間内の修正回数が最も多く、公開直前に間に合わせていた。
競争の激しい Mobile OS の分野において Google は、iOS と Android の両方で似通ったパフォーマンスを報告しており、前者の平均修正期間は 70日、後者は 72日を要していた。Web ブラウザでは、Chrome が 29.9日、Firefox が 37.8日となっており、Chrome が他を圧倒している。
Apple は、この数年において Safari を悩ませてきた WebKit の欠陥の修正に、平均で 72.7日という、他の2倍以上の時間を要した。
このレポートで Google Project Zero チームは、「今回の分析では WebKit が異例であり、パッチをリリースするまでの日数が 73日と最も長くなっていた。彼らが修正プログラムを公開するまでの期間は、Chrome と Firefox の中間に位置しているが、ユーザーに修正プログラムが公開される前に、攻撃者がパッチを見つけて悪用するチャンスを与えやすくなっている」とのことだ。
結論として、Google のセキュリティ・アナリストは、いくつかの明確な改善点を認めているが、敵対者はバグレポートに目を光らせ、新たな攻撃手段を見つけ出そうとするため、ベンダーはさらに努力する必要があるとしている。
Google の Project Zero は頑張っていますね。元データを提供する A walk through Project Zero metrics は、2月10日のリリースとなっています。対象となる製品カテゴリは、Oracle や Office を除くと、OS と Web ブラウザという感じですね。それぞれの代表的なベンダーごとの違いが見えてきて、とても興味深いです。それと、Apple が WebKit に苦労しているように思えますが、Safari も Chromium なんてことは起きないでしょうね。
IoT OT Security News 