Google Project Zero: Microsoft deve accelerare la pubblicazione delle patch di sicurezza

Another ICT Guy

Google Project Zero: Microsoft deve accelerare la pubblicazione delle patch di sicurezza

Project Zero, il team di Google impegnato nell’analisi dei software per scovare falle zero day, ha fatto il punto sul periodo 2019-2021 rivelando informazioni piuttosto interessanti sulla sua attività e la risposta delle software house. Anzitutto, le aziende analizzate hanno impiegato una media di 52 giorni a risolvere le falle di sicurezza segnalate da Project Zero. Si tratta di un passo avanti rispetto agli 80 giorni richiesti 3 anni fa.

“Oltre al fatto che la media ora è ben al di sotto della scadenza di 90 giorni, abbiamo anche assistito a un calo delle aziende che non rispettano la scadenza (o l’ulteriore periodo “di grazia” di 14 giorni). Nel 2021, solo un bug ha superato la scadenza prima di essere corretto, mentre il 14% ha richiesto il periodo di grazia ulteriore per essere risolto”.

Tra il 2019 e il 2021 Google Project Zero ha segnalato 376 falle di sicurezza: il 93,4% è stato risolto entro i 90 giorni che il settore si è dato come buona regola prima di rendere note le falle (la cosiddetta disclosure). Come si può vedere dalla seguente tabella, la maglia nera nel risolvere i bug entro il periodo dei 104 giorni è Oracle, anche se con poche vulnerabilità (7). A seguire Microsoft, avendo superato il numero di giorni concessi con 4 delle 80 falle identificate.

Azienda Bug totali Risulti entro 90 giorni Risolti nel periodo di grazia Oltre la scadenza e il periodo di grazia Giorni medi per risolverli
Apple 84 73 (87%) 7 (8%) 4 (5%) 69
Microsoft 80 61 (76%) 15 (19%) 4 (5%) 83
Google 56 53 (95%) 2 (4%) 1 (2%) 44
Linux 25 24 (96%) 0 (0%) 1 (4%) 25
Adobe 19 15 (79%) 4 (21%) 0 (0%) 65
Mozilla 10 9 (90%) 1 (10%) 0 (0%) 46
Samsung 10 8 (80%) 2 (20%) 0 (0%) 72
Oracle 7 3 (43%) 0 (0%) 4 (57%) 109
Altri 55 48 (87%) 3 (5%) 4 (7%) 44
TOTALE 346 294 (84%) 34 (10%) 18 (5%) 61

“Nel complesso, i dati mostrano che quasi tutti i grandi fornitori di software risolvono i problemi in media in meno di 90 giorni. La maggior parte dei fix durante il periodo di grazia proviene da Apple e Microsoft (22 su 34 in totale)“.

Azienda Bug nel 2019 (giorni medi per risolverli) Bug nel 2020 (giorni medi per risolverli) Bug nel 2021 (giorni medi per risolverli)
Apple 61 (71) 13 (63) 11 (64)
Microsoft 46 (85) 18 (87) 16 (76)
Google 26 (49) 13 (22) 17 (53)
Linux 12 (32) 8 (22) 5 (15)
Altri 54 (63) 35 (54) 14 (29)
TOTALE 199 (67) 87 (54) 63 (52)

In media, sono necessari circa 61 giorni per intervenire sulle vulnerabilità. “Possiamo vedere che il tempo complessivo per risolvere i problemi è costantemente diminuito, ma in modo più significativo tra il 2019 e il 2020. Microsoft, Apple e Linux hanno ridotto il loro tempo d’intervento, mentre Google ha accelerato nel 2020 prima di rallentare di nuovo nel 2021. Forse la cosa più impressionante è che gli altri non rappresentati nella tabella hanno collettivamente ridotto i loro tempi di risoluzione di oltre la metà”, spiega Google ammettendo però che il dato potrebbe essere legato a un “cambiamento negli obiettivi di ricerca” piuttosto che alle pratiche di una particolare azienda.

Focalizzandosi sul solo 2021, solo in un caso è stata superata la scadenza rispetto alla media di 9 volte all’anno negli anni precedenti. “Il periodo di grazia è stato usato 9 volte (la metà delle volte da Microsoft), rispetto a una media di 12,5 negli altri anni”.

Per quanto riguarda i sistemi operativi mobile, è interessante rilevare come iOS abbia ricevuto più report di bug da Google Project Zero rispetto a qualsiasi versione di Android. Qualcuno potrebbe maliziosamente pensare che in casa Google hanno puntato maggiormente l’attenzione su iOS rispetto ad Android, ma il team di Project Zero scarta questa ricostruzione.

Azienda Bug totali Tempo medio per risolverli
iOS 76 70
Android (Samsung) 10 72
Android (Pixel) 6 72

“Piuttosto che uno squilibrio nella selezione degli obiettivi di ricerca, questo è più un riflesso di come Apple distribuisce il software. Gli aggiornamenti di sicurezza per “app” come iMessage, Facetime e Safari/WebKit vengono tutti forniti come parte degli aggiornamenti del sistema operativo, quindi li includiamo nell’analisi del sistema operativo. D’altra parte, gli aggiornamenti di sicurezza per le app standalone su Android avvengono tramite il Google Play Store, quindi non sono inclusi in questa analisi”.

Fatta questa puntualizzazione, si nota come tutte e tre le aziende analizzate impieghino un tempo medio piuttosto simile nella risoluzione dei problemi.

Browser Bug Giorni medi dalla segnalazione alla patch pubblica Giorni medi dalla patch pubblica alla diffusione Giorni medi dalla segnalazione alla diffusione
Chrome 40 5,3 24,6 29,9
WebKit 27 11,6 61,1 72,7
Firefox 8 16,6 21,1 37,8
TOTALE 75 8,8 37,3 46,1

Passando ai browser open source, emerge che Chrome è il browser che riceve fix nel canale stabile con maggiore celerità dopo la segnalazione di un problema: servono 30 giorni per raggiungere l’utente finale e solo 5 per risolvere il problema. Firefox è secondo con una media di 38 giorni, mentre WebKit chiude con 74 giorni. In questo caso il problema non è il tempo di sviluppo del fix, ma il tempo entro cui viene integrato in una build e diffuso al pubblico.

In conclusione, Project Zero rileva che nel caso di Google, in particolare Chrome, il ciclo di rilascio rapido di nuove build aiuta a mantenere il software aggiornato in tempi ridotti. “Nel caso di Apple siamo soddisfatti dell’accelerazione nell’arrivo delle patch, nonché del mancato utilizzo dei periodi di grazia e della mancanza di scadenze non rispettate. Per WebKit in particolare, speriamo di vedere una riduzione del tempo necessario tra il confezionamento di una patch e la distribuzione agli utenti, soprattutto perché la sicurezza di WebKit riguarda tutti i browser utilizzati in iOS, poiché WebKit è l’unico motore browser consentito”.

Infine, per quanto concerne Microsoft, il team ritiene che le tempistiche dilatate ravvisate siano conseguenza della cadenza mensile degli aggiornamenti del “Patch Tuesday”, il che può rendere più difficile per i team di sviluppo rispettare una scadenza di divulgazione. “Ci auguriamo che Microsoft possa prendere in considerazione l’implementazione di una cadenza più frequente per problemi di sicurezza o la ricerca di modi per semplificare ulteriormente i processi interni”.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.