Microsoft, HP, Cisco en IBM reageren het traagst op gerapporteerde beveiligingslekken, aldus beveiligingsbedrijf TippingPoint. Via het Zero Day Initiative (ZDI) koopt de beveiliger kwetsbaarheden van onderzoekers. Die informatie stuurt het door naar leveranciers, zodat die het probleem kunnen patchen, en gebruikt het voor de eigen IPS-oplossingen. Dit jaar ontving ZDI 350 security advisories van onderzoekers en publiceerde het zelf veertien advisories, zo laat de beveiliger in een blogposting weten.

Sinds vorig jaar hanteert ZDI een "deadline" voor gewaarschuwde leveranciers en ontwikkelaars. Is een beveiligingslek niet binnen 180 na het melden ervan opgelost, dan wordt het probleem openbaar gemaakt. Dit jaar publiceerde ZDI 29 'zero-day' advisories in producten van Cisco, HP, IBM en Microsoft.

81% van de advisories was voor de software van Adobe, Apple, EMC, HP, IBM, Microsoft, Novell, Oracle, RealNetworks en Symantec. Net als in voorgaande jaren speelden lekken in browsers een belangrijke rol. Zo'n tien procent van de gepubliceerde advisories en die nog zullen verschijnen, zijn voor kwetsbaarheden in WebKit (Chrome en Safari), Firefox en Internet Explorer.

Industrie
Een trend die dit jaar opviel, was het groeiend aantal lekken in SCADA/Industriële Controle Systemen (ICS). Dit was het eerste jaar dat het ZDI advisories voor ICS-lekken publiceerde. Het gaat in totaal om zes advisories die al zijn gepubliceerd of nog zullen verschijnen, voor kwetsbaarheden in de software van grote leveranciers zoals GE, Honeywell en InduSoft.

Wat betreft volgend jaar zal er niet veel veranderen, er staan al 160 advisories klaar om gepubliceerd te worden. Met name HP heeft nog een groot aantal kwetsbaarheden openstaan, waarbij sommige lekken meer dan 260 dagen oud zijn.