Google afirmă că jumătate dintre exploatările de tip zero-day sunt datorate actualizărilor de securitate defectuoase
https://www.zdnet.com
Specialiștii de la Google Project Zero (GPZ) au numărat până în prezent 18 vulnerabilități de tip zero day în 2022 care afectează Microsoft Windows, Apple iOS și WebKit, Chromium și Pixel de la Google și serverul Confluence de la Atlassian. Jumătate dintre aceste vulnerabilități ar fi putut fi prevenite dacă principalii furnizori de software ar fi creat patch-uri mai amănunțite și ar fi efectuat mai multe teste.
De asemenea, potrivit GPZ, în acest an au existat doar patru vulnerabilități zero day unice și asta pentru că atacatorii pot modifica exploatările pentru a trece peste actualizările de securitate superficiale.
În 2021 au fost găsite mai multe zero-days decât în ultimii cinci ani. Cercetătorii ar putea să își îmbunătățească modalitățile de a detecta exploatările active. Pe de altă parte, bazele de date de coduri ale browser-elor au devenit la fel de complexe ca și sistemele de operare. De asemenea, browser-ele au devenit o țintă importantă, datorită dispariției unor extensii ale browser-elor precum Flash Player.
67% din cele 58 de vulnerabilități zero day exploatate activ în 2021 au fost de tipul memory corruption.
Echipa de securitate de la Chrome lucrează la soluții pentru erorile de memorie din codul browserului scris în C++, dar remedierile presupun un cost ce implică performanță. Chrome nu poate fi rescris pur și simplu în Rust, care ar oferi garanții de siguranță a memoriei mai bune decât C și C++.
Multe dintre vulnerabilitățile zero-day din 2022 se datorează faptului că nu sunt remediate complet și corect. În cazul erorilor din Windows win32k și Chromium property access interceptor, fluxul de execuție pe care l-au urmat exploatările de tip proof-of-concept au fost remediate, dar cauza principală nu a fost remediată: atacatorii au putut și să declanșeze vulnerabilitatea originală printr-o cale diferită.
Iar în cazul WebKit și Windows PetitPotam, vulnerabilitatea originală fusese remediată, dar la un moment dat a stagnat, astfel încât atacatorii au putut exploata din nou aceeași vulnerabilitate.
Zero-days pe care GPZ le-a urmărit în acest an până la 15 iunie:
| Product | 2022 ITW 0-day | Variant |
| Windows win32k | CVE-2022-21882 | CVE-2021-1732 (2021 itw) |
| iOS IOMobileFrameBuffer | CVE-2022-22587 | CVE-2021-30983 (2021 itw) |
| Windows | CVE-2022-30190 („Follina”) | CVE-2021-40444 (2021 itw) |
| Chromium property access interceptors | CVE-2022-1096 | CVE-2016-5128 CVE-2021-30551 (2021 itw) CVE-2022-1232 (Addresses incomplete CVE-2022-1096 fix) |
| Chromium v8 | CVE-2022-1364 | CVE-2021-21195 |
| WebKit | CVE-2022-22620 („Zombie”) | Bug was originally fixed in 2013, patch was regressed in 2016 |
| Google Pixel | CVE-2021-39793* * While this CVE says 2021, the bug was patched and disclosed in 2022 | Linux same bug in a different subsystem |
| Atlassian Confluence | CVE-2022-26134 | CVE-2021-26084 |
| Windows | CVE-2022-26925 („PetitPotam”) | CVE-2021-36942 (Patch regressed) |
Sursă: https://www.zdnet.com/article/google-half-of-zero-day-exploits-linked-to-poor-software-fixes/
