Google Project Zero: Vývojáři Linuxu opravují nahlášené zero-day zranitelnosti nejrychleji

Google Project Zero, bezpečnostní výzkumníci v Googlu hledající zero-day zranitelnosti, zveřejnil statistiky za roky 2019 až 2021. Nahlásili 376 zranitelností. Nejvíce, nad 80, jich bylo v softwaru od společností Apple a Microsoft. Nejrychleji byly zranitelnosti opravovány v Linuxu, průměrně 25 dnů. Nejpomaleji v softwaru od společnosti Oracle, průměrně 109 dnů.

To je metrika vohovne, protoze mnohem podstatnejsi je jak kvalitni ty patche jsou. Uzivatele oraclich produktu by asi nebyli nadseni, kdyby se jim co par dnu dostavalo patche, ktery by jednu vec neopravil, ale zato deset dalsich rozbil.

---

Dete s tim guuglem dopice!

22.2.2022 09:38 drunkezz | skóre: 34 | blog: kadeco
Rozbalit Rozbalit vše Re: Google Project Zero: Vývojáři Linuxu opravují nahlášené zero-day zranitelnosti nejrychleji

....to hadam nikto...to ale ze oracle robi patche 109 dni neznamena nutne ze su kvalitnejsie....moze to byt hafo inych veci....fakt je ze to trva najdlhsie

22.2.2022 12:00 j
Rozbalit Rozbalit vše Re: Google Project Zero: Vývojáři Linuxu opravují nahlášené zero-day zranitelnosti nejrychleji

Jenze je trosku rozdil, jestli za ten produkt platis presne 0 nebo castky v 10ti cifrach.

Jak moc kvalitni patche dela oracle neumim uplne posoudit, jednu databazi provozoval zakaznik kdysi davno, a ta se proste nepatchovala vubec, nikdo se na to neodvazoval sahat.

Zato trebas M$ vydava patche sice "jednou mesicne", ale se 100% jistotou, ze se neco pokazdy posere. Zrovinka minulej mesic trebas totok:

https://dirteam.com/sander/2022/01/14/some-domain-controllers-may-restart-unexpectedly-after-applying-the-january-11-2022-updates/

Vyzivnej je tam predevsim koment:

"I installed the patch on one of our domain controllers, on Friday. Took a snapshot prior to installing the patch. No reboots on Friday, Saturday and Sunday. I removed the snapshot on Monday, as the DC did not reboot once. Took a snapshot of a second DC, and patched the DC. Performed the same procedure on a third DC. 5 minutes after the third DC was patched, all DC's started to reboot unexpectedly."

A jo, presne v tomhle provedeni sem na to narazil osobne. Patchnul sem prvni ... fungovalo, za 3 dny sem sel patchnout druhej, a oba se zacaly restartovat furt dokola, uzasny.

---

Dete s tim guuglem dopice!

22.2.2022 10:07 Marek
Rozbalit Rozbalit vše Re: Google Project Zero: Vývojáři Linuxu opravují nahlášené zero-day zranitelnosti nejrychleji

Tak bylo by zajímavé vyřadit ze statistiky rozbité patche nebo patche, které způsobily problém minimálně stejné závažnosti jako opravovaná záležitost.

22.2.2022 12:08 j
Rozbalit Rozbalit vše Re: Google Project Zero: Vývojáři Linuxu opravují nahlášené zero-day zranitelnosti nejrychleji

Tak "zavaznost" problemu je taky hodne na diskusi. Rekneme ze mas remote diru. Reknes ze to je top ... ale oprava ti trebas vyresi tu diru, ale dana vec prestane fungovat ... to z hlediska bezpecnosti problem neni vlastne vubec zadnej, ale z hlediska uzivatele vetsinou mnohem zasadnejsi nez nejaka potencialni a casto hypoteticky vyuzitelna dira.

Ostatne viz kousek vedle, loni cely leto M$ kurvil(doslova a dopismene) printserver, a jejich reseni "nez to patchnou" (cimz tomu nasadili korunu) bylo ho vypnout. Jako fajn, nepude ti napadnou prinserver ... a nikdo si nic nevytiskne, coz je neprekvapive presne to, proc to lidi maj zaply.

Bonus k tomu je ten, ze kdyz tu servisu (prinserver) na widlich vypnes, tak se z toho muzou posrat. Porad ti to nekde bude pindat, ze neco nefunguje nebo fungovat nebude, ackoli trebas nic tisknout nechces.

Navic pokud ty hlaseni aspon zbezne sledujes, tak zjistis, ze tak 70% tech "kritickych" chyb se ve skutecnosti drtivy vetsiny uzivatelu vubec netyka. Bud proto, ze ta sluzba neni typicky dostupna verejne, nebo proto, ze ta chyba funguje jen pri uplnku 30tyho unora.

---

Dete s tim guuglem dopice!

Google Project Zero: Vývojáři Linuxu opravují nahlášené zero-day zranitelnosti nejrychleji

Komentáře