Elke dag zijn er bepaalde partijen die toegang tot zeker 58 zero-day-lekken in de software van Adobe, Apple. Microsoft en Oracle hebben, zo blijkt uit onderzoek van onderzoeksbureau NSS Labs. Zero-day-lekken zijn kwetsbaarheden waarvoor nog geen beveiligingsupdate beschikbaar is.

Via deze kwetsbaarheden is het mogelijk om computers over te nemen zonder dat gebruikers dit in veel gevallen direct door hebben. Beveiligingsonderzoekers die zero-day-lekken ontdekken hebben de mogelijkheid om die aan bepaalde beloningprogramma's door te verkopen. De bedrijven die deze programma's aanbieden gebruiken de informatie om hun eigen klanten te informeren en beschermen en waarschuwen vervolgens de leverancier of ontwikkelaar van het kwetsbare programma.

Programma

NSS Labs analyseerde tien jaar aan gegevens van twee van deze programma's, het Vulnerability Contributor Program (VCP) en het Zero Day Initiative (ZDI), en kwam tot de conclusie dat de afgelopen drie jaar op een willekeurige dag de klanten van deze programma's toegang tot tenminste 58 zero-day-lekken in de programma's van Microsoft, Apple, Oracle en Adobe hadden. Verder blijkt dat het gemiddeld 151 dagen duurt voordat deze zero-day-lekken zijn gepatcht.

De VCP- en ZDI-programma's zijn een belangrijke bron voor het melden van beveiligingslekken aan softwareleveranciers. 14% van de Microsoft-lekken, 10% van de Apple-lekken en 17% van de Adobe-lekken die de afgelopen 10 jaar verschenen zijn via de twee programma's gemeld.

Dreiging

NSS Labs stelt dat de zero-day-lekken vooral voor overheidsinstanties en cybercriminelen interessant zijn, en die het vooral op de producten van de grote softwareleveranciers hebben voorzien. De tientallen zero-day-lekken die elke dag in deze software aanwezig en bij bepaalde partijen bekend zijn, vormen dan ook een reële dreiging voor de beveiliging van zowel bedrijven als thuisgebruikers concludeert het onderzoekbureau.