image

Veel minder zerodaylekken in software Apple, Google en Microsoft ontdekt

dinsdag 27 december 2022, 12:32 door Redactie, 10 reacties

Het aantal ontdekte zerodaylekken in de software van Apple, Google en Microsoft was dit jaar veel lager dan het recordjaar van 2021, zo blijkt uit cijfers van Google die Security.NL analyseerde. Zero days zijn actief aangevallen kwetsbaarheden waar nog geen beveiligingsupdate van de fabrikant voor beschikbaar is. Dergelijke beveiligingslekken zijn dan ook zeer effectief voor het uitvoeren van aanvallen.

Zeroday-aanvallen vinden vaak op beperkte schaal plaats om te voorkomen dat de gebruikte kwetsbaarheid snel wordt ontdekt. Hierdoor is echter ook de zichtbaarheid op dergelijke kwetsbaarheden beperkt. Google houdt sinds enige jaren een overzicht bij van waargenomen zerodaylekken in populaire software gericht op eindgebruikers. Vorig jaar registreerde het techbedrijf 68 kwetsbaarheden. De meeste zero days werden aangetroffen in software van Apple, Google en Microsoft.

Zo kwam Apple in 2021 met updates voor zeventien actief aangevallen zerodaylekken in iOS, iPadOS en macOS. Google verhielp zestien zerodaylekken in Chrome. Microsoft kreeg volgens Google in 2021 met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Verder werden er ook negen zerodaylekken in de software van Samsung geregistreerd.

2021 was een waar recordjaar wat aangetroffen zerodaylekken betreft. In 2020 bleef de teller op 25 steken. Dit jaar gaat het in totaal om 38 zerodaylekken. In het overzicht van Google missen nog een aantal zerodays in Google Chrome, Windows en iOS van afgelopen maand. Als we die erbij optellen komt het totaal voor dit jaar op 38 uit. Microsoft (12), Google (11) en Apple (10) voeren wederom de lijst aan. Als er naar losse producten wordt gekeken kregen Google Chrome (9) en Windows (9) met de meeste zero days te maken.

De overige zerodaylekken buiten Apple, Google en Microsoft om komen dit jaar voor rekening van Atlassian Confluence, Mozilla Firefox (2) en Trend Micro Apex Central. Bij het overzicht van Google moet worden opgemerkt dat het niet alle zerodaylekken dekt. Zo ontbreken bijvoorbeeld zerodays in zakelijke producten, zoals Citrix, Fortinet, Mitel, en Zimbra die dit jaar werden ontdekt, maar ook in de software van QNAP waarmee duizenden NAS-apparaten werden versleuteld.

Google haalde dit jaar ook uit naar Samsung, dat gebruikers nooit over zerodaylekken heeft ingelicht, maar dat voortaan wel zegt te zullen doen. "Wanneer zerodays niet transparant worden gemeld kunnen we die informatie niet gebruiken om gebruikers verder te beschermen, om zo te begrijpen wat de aanvallers al weten", liet Maddie Stone van Googles Project Zero vorige maand weten. Net als voorgaande jaren geven fabrikanten in hun berichtgeving over zerodaylekken zelden tot nooit informatie over doelwitten en aanvallers, en hoe de aanvallen precies plaatsvinden.

Waarom het aantal ontdekte zero days dit jaar veel lager is dan het vorige jaar, is onbekend. Bij het recordjaar van 2021 stelde Google nog dat onderzoekers beter worden in het detecteren van actief aangevallen zerodaylekken. Daarnaast zouden softwareleveranciers via hun bugbountyprogramma's, waarbij onderzoekers worden betaald voor het melden van onbekende kwetsbaarheden, problemen in de software sneller weten te vinden. Ook het toepassen van bepaalde beveiligingsmaatregelen zou misbruik van kwetsbaarheden lastiger maken.

Hoewel zeroday-aanvallen veel aandacht krijgen, blijken de meeste aanvallen waarbij kwetsbaarheden worden ingezet gebruik te maken van bekende kwetsbaarheden waarvoor organisaties beschikbare beveiligingsupdates niet hebben geïnstalleerd.

Image

Reacties (10)
27-12-2022, 13:34 door Anoniem
> Waarom het aantal ontdekte zero days dit jaar veel lager is dan het vorige jaar, is onbekend.
> Bij het recordjaar van 2021 stelde Google nog dat onderzoekers beter worden in het detecteren van actief aangevallen
> zerodaylekken.

https://www.theregister.com/2022/12/02/android_google_rust/

But after four years in which Android has been collecting bits of Rust, that figure has declined.

"From 2019 to 2022 the annual number of memory safety vulnerabilities dropped from 223 down to 85," said Android security engineer Jeffrey Vander Stoep in a blog post.

And so far, Rust has delivered. "To date, there have been zero memory safety vulnerabilities discovered in Android’s Rust code," said Vander Stoep, who wisely admitted that this probably won't be the case forever.
27-12-2022, 13:59 door Anoniem
Of ze worden niet ontdekt... Om nou gelijk van 'minder lekken' te spreken?
27-12-2022, 17:30 door Anoniem
Door Anoniem: Of ze worden niet ontdekt... Om nou gelijk van 'minder lekken' te spreken?

Lijkt me eerder inderdaad. Ik heb ooit ik iets gehoord dat het een hoog % is, van wat niet gedetecteerd wordt.
28-12-2022, 08:02 door Anoniem
Door Anoniem: Of ze worden niet ontdekt... Om nou gelijk van 'minder lekken' te spreken?
Statistisch klopt het verhaal, maar het hoeft niet te betekenen dat er minder lekken ontdekt wordt. Het kan ook betekenen dat de code beter werd ontworpen.
28-12-2022, 11:58 door Anoniem
minstens zo interessant is of de zero day in een recente update zat of al in oudere software zat. Dat bepaald namelijk mede het blootstellinggevaar.
28-12-2022, 12:07 door Anoniem
Je kunt wel zien wanneer de bedrijven een andere policy zijn gaan hanteren voor het maken van software.
29-12-2022, 09:29 door Anoniem
Dit lijkt op liegen met statistieken. De criteria zijn niet helder. Zijn dit alle cvss scores van 9.5 en hoger? En dan een combinatie van OS en software van geselecteerde vendoren? Ik kan hier niks mee. In de dagelijkse praktijk merk ik dat we steeds meer kwetsbaarheden te patchen hebben.
29-12-2022, 10:39 door Anoniem
Windows 9 zero days. Dat is dus continue kritiek lek tegen over bv Linux 0
29-12-2022, 15:58 door Anoniem
Door Anoniem: Windows 9 zero days. Dat is dus continue kritiek lek tegen over bv Linux 0
Hier moet ik even inhaken. In Linux hebben dit jaar in ieder geval 2 zero days gezeten. 1 in juli ontdekt en 1 in November. Het zijn er minder dan 9, maar zeker meer dan 0. Ondanks dat ik een vervent Linux beheerder ben moeten we de realiteit niet uit ogen verliezen.
30-12-2022, 00:21 door Anoniem
Er horen helemaal geen zerodaylekken in te zitten als je zit te programmeren. Dat hoor je te snappen bij elke regel code die je schrijft. Dat weet je gewoon. Of dat had je kunnen weten. Vooral als je diep in de code zit. Het is net als dat je kunt bevroeden dat je medeplichtig zou kunnen zijn aan een misdrijf. Je weet dat terwijl je die code schrijft,

Waarom worden zulke codebakkers anders behandeld dan tweedehands fietsenhandelaren?

Je weet het terwijl je het maakt. Of je had het kunnen weten. Wanneer houden de smoesjes eens op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.