Google hat seinen jährlichen Bericht über Zero-Day-Lücken aktualisiert. Im Jahr 2022 wurden demnach 41 Zero-Day-Lücken entdeckt und dokumentiert, 40 Prozent weniger als im Jahr 2021. Von einer Entspannung kann dennoch keine Rede sein: 41 Zero-Days ist der zweithöchste Wert, seit 2014, als Google erstmals begann, Zero-Day-Lücken zu erfassen.
Ein Trend, der sich 2022 fortsetze, sind Zero-Day-Lücken, die auf bereits zuvor gemeldeten Schwachstellen basieren. 17 der 41 Zero-Days des vergangenen Jahres fielen in diese Kategorie. Mehr als 20 Prozent waren zudem Varianten früherer Zero-Day-Lücken der Jahre 2020 und 2021.
Bug Collissions nehmen zu
Darüber hinaus kritisiert Google die Patch-Lücke unter Android. Für einige Anfälligkeiten unter Android seien Updates erst mit einer großen zeitlichen Verzögerung bereitgestellt worden, wodurch diese Sicherheitslücken praktisch zu Zero-Day-Lücken wurden. „Angreifer brauchten keine Zero-Day-Exploits und konnten stattdessen n-Days verwenden, die als Zero-Days fungierten“, bewertete Maddie Stone, Sicherheitsforscherin von Googles Threat Analysis Group, diese Entwicklung.
Google stellte außerdem fest, dass immer häufiger sogenannte Bug Collisions auftreten. Damit werden Fehler in Software bezeichnet, die unabhängig voneinander von mehreren Akteuren entdeckt oder gar für Angriffe eingesetzt werden. „Wenn eine aktiv ausgenutzte Zero-Day-Lücke, die auf eine beliebte Verbraucherplattform abzielt, gefunden und behoben wird, ist es immer wahrscheinlicher, dass damit auch eines Exploit eines anderen Angreifers unbrauchbar wird“, ergänzte Stone.
Für die Zukunft mahnt Google vor allem eine zügigere Bereitstellung von Patches an. Zudem sollten mehr Plattformen dem Beispiel moderner Browser folgen und Techniken einführen, die die Ausnutzung von ganzen Klassen von Schwachstellen erschweren. Auch werde weiterhin mehr Transparenz und ein besserer Austausch zwischen Anbietern und Sicherheitsexperten benötigt, um produktübergreifende Angriffsketten zu erkennen.
Neueste Kommentare
Noch keine Kommentare zu Google: Zahl der Zero-Day-Lücken geht 2022 zurück
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.