Google統計：過去2年業者修補零時差漏洞的時間從54天減少到52天

Google Project Zero上周公布2021年及最近3年來，由該專案所揭露的零時差漏洞，指出業者修補零時差漏洞的間隔愈來愈短，從2018年的平均80天，逐年下滑至67天、54天，到去年大家修補零時差漏洞的平均時間已減少至52天。

Project Zero一向秉持90天的漏洞揭露政策，亦即在提交零時差漏洞報告予相關業者之後，釋出90天的緩衝期供業者修補，若來不及修補還能申請額外14天的寬限期，該專案在2021年總計提交了63個零時差漏洞，當中有14%的漏洞申請了寬限期，也只有1個漏洞沒來得及在90天內修補，平均修補時間為52天。

去年Google揭露的63個零時差漏洞中，有17個位於自家產品中，16個位於微軟產品，11個存在於蘋果產品，還有5個是Linux漏洞，另外14個則屬於其它業者。修補動作最快的是Linux，平均15天就修補完了，Google花了53天，蘋果花了64天，微軟最久，平均花了76天來修補漏洞。

該專案也揭露了這3年來零時差漏洞數量的變化，顯示Project Zero所發現的零時差漏洞愈來愈少，原因之一可能是各大業者推出的抓漏獎勵專案發揮了功效，2019年時，Project Zero總計發現199個零時差漏洞，2020年降至87個，去年再減少至63個。

若是歸納這3年總計351個零時差漏洞的修補狀況，這些漏洞中主要來自微軟（96個）、蘋果（85個）及Google（60個），當中有93.4%的漏洞已被修補，3.7%是業者拒絕修補，另有2.9%未修補。

也許是為了彰顯自家的優勢，Project Zero特別統計了三大開源瀏覽器Chrome、WebKit與Firefox最近這幾年的零時差漏洞及平均修補時間，其中，Chrome總計有40個零時差漏洞，平均修補時間為29.9天，WebKit有27個漏洞，平均修補時間為72.7天，Firefox有8個漏洞，平均修補時間為37.8天。