image

Google trekt lessen uit achttien zerodaylekken in eerste helft van dit jaar

donderdag 30 juni 2022, 16:02 door Redactie, 2 reacties

In de eerste helft van dit jaar zijn er achttien zerodaylekken gebruikt bij aanvallen tegen organisaties en internetgebruikers. Zeker de helft van deze kwetsbaarheden had voorkomen kunnen worden als de betreffende softwareleverancier betere updates en regressietests had doorgevoerd, zo stelt Google. Het techbedrijf kreeg met de meeste zerodays (5) te maken, gevolgd door Apple (4), Microsoft (4), Mozilla (2), Atlassian (1), Sophos (1) en Trend Micro (1).

Zerodays zijn kwetsbaarheden waar op het moment van de aanval geen update van de leverancier voor beschikbaar is. Volgens Google waren zeker negen zerodays varianten van eerder gepatchte kwetsbaarheden. Het techbedrijf stelt dat de helft van de waargenomen zerodaylekken in de eerste helft van dit jaar voorkomen had kunnen worden door betere patches en regressietests. Verder blijkt dat vier van de dit jaar ontdekte zerodays varianten zijn van zerodaylekken die vorig jaar al door aanvallers werden gebruikt.

"Wanneer mensen aan zeroday-exploits denken hebben ze vaak het idee dat ze zo technologisch geavanceerd zijn dat er geen kans is om ze te vinden en voorkomen. De data laat een ander verhaal zien. Zeker de helft van de zerodays die we tot nu toe hebben gezien zijn nauw verwant aan eerder waargenomen bugs", aldus Maddie Stone van Google. Ze voegt toe dat veel van de zerodays het gevolg zijn van het niet volledig patchen van de hoofdoorzaak. Daardoor kunnen aanvallers op een andere manier opnieuw van het probleem misbruik maken.

Volgens Stone is het belangrijk dat softwareontwikkelaars met uitgebreide en juiste fixes komen, zodat het lastiger wordt voor aanvallers om zerodaylekken te kunnen gebruiken. Om beter inzicht in de onderliggende problemen van zerodaylekken te krijgen heeft Google de "root cause analyses" van meerdere zerodays gepubliceerd en roept andere softwareleveranciers op om hetzelfde te doen.

Image

Reacties (2)
30-06-2022, 16:57 door Anoniem
dit maakt opnieuw duidelijk wat de idiotie van 'managed IT' en 'ethical hacking' allemaal wel niet kan veroorzaken
technisch personeel wordt als boeven en kinderen behandeld, wat maakt dat er simpelweg geen budget wordt gemaakt om secure development mogelijk te maken

dat niet recentelijk, deze praktijken zijn sinds minstens 20 jaar doorgedrukt, het zal een helse toer worden dat om te buigen naar een wereld waar ethical hacking binnen de SDLC gebeurt in plaats van als het eindproduct al overal werd uitgerold

degelijk onderzoek naar programmeer technieken, compilers en runtimes brengt een veel breder gedragen cybersecurity met zich mee, een waar de dolle GRC cycli niet langer een vergaand en diepgaan schijngevoel van veiligheid teweeg brengen en engineer weer gewoon hun ding kunnen doen, hopelijk

@commandline_be
01-07-2022, 10:49 door Anoniem
waarom moeten software ontwikkelaars geen sort veilig heids certificaten afgeven als men klaar is met het ontwikkelen
van software?????
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.