Veel minder zerodaylekken in software Apple, Google en Microsoft ontdekt
Het aantal ontdekte zerodaylekken in de software van Apple, Google en Microsoft was dit jaar veel lager dan het recordjaar van 2021, zo blijkt uit cijfers van Google die Security.NL analyseerde. Zero days zijn actief aangevallen kwetsbaarheden waar nog geen beveiligingsupdate van de fabrikant voor beschikbaar is. Dergelijke beveiligingslekken zijn dan ook zeer effectief voor het uitvoeren van aanvallen.
Zeroday-aanvallen vinden vaak op beperkte schaal plaats om te voorkomen dat de gebruikte kwetsbaarheid snel wordt ontdekt. Hierdoor is echter ook de zichtbaarheid op dergelijke kwetsbaarheden beperkt. Google houdt sinds enige jaren een overzicht bij van waargenomen zerodaylekken in populaire software gericht op eindgebruikers. Vorig jaar registreerde het techbedrijf 68 kwetsbaarheden. De meeste zero days werden aangetroffen in software van Apple, Google en Microsoft.
Zo kwam Apple in 2021 met updates voor zeventien actief aangevallen zerodaylekken in iOS, iPadOS en macOS. Google verhielp zestien zerodaylekken in Chrome. Microsoft kreeg volgens Google in 2021 met 21 zerodaylekken te maken, verdeeld over Internet Explorer, Windows, Office, Defender en Exchange. Verder werden er ook negen zerodaylekken in de software van Samsung geregistreerd.
2021 was een waar recordjaar wat aangetroffen zerodaylekken betreft. In 2020 bleef de teller op 25 steken. Dit jaar gaat het in totaal om 38 zerodaylekken. In het overzicht van Google missen nog een aantal zerodays in Google Chrome, Windows en iOS van afgelopen maand. Als we die erbij optellen komt het totaal voor dit jaar op 38 uit. Microsoft (12), Google (11) en Apple (10) voeren wederom de lijst aan. Als er naar losse producten wordt gekeken kregen Google Chrome (9) en Windows (9) met de meeste zero days te maken.
De overige zerodaylekken buiten Apple, Google en Microsoft om komen dit jaar voor rekening van Atlassian Confluence, Mozilla Firefox (2) en Trend Micro Apex Central. Bij het overzicht van Google moet worden opgemerkt dat het niet alle zerodaylekken dekt. Zo ontbreken bijvoorbeeld zerodays in zakelijke producten, zoals Citrix, Fortinet, Mitel, en Zimbra die dit jaar werden ontdekt, maar ook in de software van QNAP waarmee duizenden NAS-apparaten werden versleuteld.
Google haalde dit jaar ook uit naar Samsung, dat gebruikers nooit over zerodaylekken heeft ingelicht, maar dat voortaan wel zegt te zullen doen. "Wanneer zerodays niet transparant worden gemeld kunnen we die informatie niet gebruiken om gebruikers verder te beschermen, om zo te begrijpen wat de aanvallers al weten", liet Maddie Stone van Googles Project Zero vorige maand weten. Net als voorgaande jaren geven fabrikanten in hun berichtgeving over zerodaylekken zelden tot nooit informatie over doelwitten en aanvallers, en hoe de aanvallen precies plaatsvinden.
Waarom het aantal ontdekte zero days dit jaar veel lager is dan het vorige jaar, is onbekend. Bij het recordjaar van 2021 stelde Google nog dat onderzoekers beter worden in het detecteren van actief aangevallen zerodaylekken. Daarnaast zouden softwareleveranciers via hun bugbountyprogramma's, waarbij onderzoekers worden betaald voor het melden van onbekende kwetsbaarheden, problemen in de software sneller weten te vinden. Ook het toepassen van bepaalde beveiligingsmaatregelen zou misbruik van kwetsbaarheden lastiger maken.
Hoewel zeroday-aanvallen veel aandacht krijgen, blijken de meeste aanvallen waarbij kwetsbaarheden worden ingezet gebruik te maken van bekende kwetsbaarheden waarvoor organisaties beschikbare beveiligingsupdates niet hebben geïnstalleerd.
> Bij het recordjaar van 2021 stelde Google nog dat onderzoekers beter worden in het detecteren van actief aangevallen
> zerodaylekken.
https://www.theregister.com/2022/12/02/android_google_rust/
But after four years in which Android has been collecting bits of Rust, that figure has declined.
"From 2019 to 2022 the annual number of memory safety vulnerabilities dropped from 223 down to 85," said Android security engineer Jeffrey Vander Stoep in a blog post.
And so far, Rust has delivered. "To date, there have been zero memory safety vulnerabilities discovered in Android’s Rust code," said Vander Stoep, who wisely admitted that this probably won't be the case forever.
Lijkt me eerder inderdaad. Ik heb ooit ik iets gehoord dat het een hoog % is, van wat niet gedetecteerd wordt.
Waarom worden zulke codebakkers anders behandeld dan tweedehands fietsenhandelaren?
Je weet het terwijl je het maakt. Of je had het kunnen weten. Wanneer houden de smoesjes eens op.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.