Forscher der ETH Zürich haben auf der derzeit in Amsterdam stattfindenden Black-Hat-Sicherheitskonferenz ein neues Modell zur Ermittlung der Sicherheit von Betriebsystemen entwickelt. Dazu zählen sie nicht allein die Anzahl der Lücken und wie kritisch diese sind, sondern ermitteln zudem die von ihnen so genannte Zero-Day-Patch-Rate. Diese gibt an, inwieweit ein Hersteller in der Lage ist, zum Zeitpunkt des Bekanntwerdens einer Lücke einen Patch zur Verfügung zu stellen. Um dabei von den Angaben der Hersteller unabhängig zu werden, greifen sie auf zahlreiche unabhängige Quellen zurück wie Secunia, Milw0rm, The Open Source Vulnerability Database (OSVDB), National Vulnerability Database (NVD), CVE und diverse andere.

In ihrem Dokument "0-Day Patch -Exposing Vendors (In)Security Performance" (PDF-Datei) führen Stefan Frei, Bernard Tellenbach und Bernhard Plattner von der Communications Systems Group der ETH ihre Methode exemplarisch anhand von Microsofts und Apples Betriebssystemen vor.

Resources