Microsoft vs. Apple: chi è più solerte nel rilascio delle patch?

Sono stati resi noti i risultati di un’indagine condotta dallo Swiss Federal Institute of Technology. Sotto esame Microsoft ed Apple per verificare quante volte, nel corso degli ultimi sei anni, le due società abbiano provveduto a rilasciare patch di sicurezza per i rispettivi prodotti software nel momento in cui una vulnerabilità è divenuta pubblicamente conosciuta. Nel gergo, si tratta dello “0day (zero-day) patch rate“.

L’istituto elvetico ha posto sotto la lente 658 vulnerabilità di sicurezza relative a prodotti Microsoft e 738 correlate a software targati Apple.
Sono state prese in considerazione solamente le vulnerabilità considerate come “altamente critiche” oppure di rischio medio, stando a quanto dichiarato dal “National Vulnerability Database”. E’ questo quanto spiegato da Stefan Frei, uno dei ricercatori che hanno lavorato sullo studio (file PDF).

Ciò che è emerso a conclusione della ricerca è che Apple, contrariamente a quanto solitamente si crede, avrebbe lasciato i propri software per più tempo vulnerabili rispetto a Microsoft.

Particolarmente eloquente è un grafico che i ricercatori hanno pubblicato e che riflette il numero cumulato delle vulnerabilità irrisolte, per i prodotti dei due vendor, nel periodo compreso tra Gennaio 2002 e Dicembre 2007.
In corrispondenza di ciascuna data, i ricercatori hanno aggiunto un’unità per le vulnerabilità diffuse pubblicamente e sottratto un’unità nel caso del rilascio di una patch risolutiva.
Poiché gli autori dello studio hanno inserito nel grafico solo le vulnerabilità risolte non più tardi della fine di Dicembre 2007, entrambe le curve iniziano e terminano al valore zero.

Frei ha voluto ribadire: “la nostra è una ricerca accademica condotta in modo indipendente”.