Een kwart van alle ontdekte zerodaylekken in 2020 had voorkomen kunnen worden als de betreffende ontwikkelaar het onderliggende probleem beter had verholpen, zo claimt Google op basis van eigen onderzoek. Voor het onderzoek werd er gekeken naar 24 actief aangevallen zerodaylekken die vorig jaar werden ontdekt.
In zes gevallen bleek dat de zerodaylekken een variant waren van eerder verholpen kwetsbaarheden. De patches die de betreffende ontwikkelaars eerder hadden uitgerold bleken niet volledig waardoor het onderliggende probleem op een iets andere wijze nog steeds was te misbruiken.
De zes zerodaylekken van vorig jaar waren varianten van in totaal negen eerdere kwetsbaarheden, waarvan er vier ook als zeroday waren misbruikt. In sommige gevallen volstond het voor de aanvallers om één of twee regels code van de oude zeroday-exploits aan te passen om een nieuwe werkende zeroday-exploit te krijgen. "Als meer kwetsbaarheden beter en uitgebreider worden gepatcht, zal het lastiger voor aanvallers zijn om zerodays te misbruiken", zegt Maddie Stone van Google Project Zero.
Twee van de kwetsbaarheden waarop Stone doelt waren aanwezig in Google Chrome. De overige vier bevonden zich in Microsoft Internet Explorer, Mozilla Firefox, Apple Safari en Windows. Drie van deze beveiligingslekken rapporteerde het Google Project Zero-team aan Google en Microsoft, maar werden niet goed door beide bedrijven verholpen, stelt Stone.
"Het correct en volledig patchen van een kwetsbaarheid is geen druk op de knop: het vereist een investering, prioritering en planning. Dit zal geen verrassing zijn voor securityteams in een organisatie, maar deze analyse is een goede reminder dat er nog steeds veel werk te verzetten is", aldus Stone. De investeringen verschillen per organisatie. Toch ziet Stone een aantal onderwerpen dat overal terugkomt, zoals voldoende personeel en middelen, volwassen processen, beloningsstructuren, automatisering en testing en samenwerken.
Deze posting is gelocked. Reageren is niet meer mogelijk.