Die Experten von Googles Security-Abteilung Project Zero haben die ersten sechs Monate des Jahres unter die Lupe genommen und untersucht, welche Zero-Day-Sicherheitslecks von Angreifern missbraucht wurden. Bei neun der Zero-Day-Schwachstellen handelte es sich um Varianten von bereits zu einem früheren Zeitpunkt gepatchten Unzulänglichkeiten. Wie die Sicherheitsexperten in einem
Blog-Beitrag feststellen, hätte somit die Hälfte der Schwachstellen vermieden werden können, wenn denn ein umfassenderes Patching und Regression Testing zum Einsatz gekommen wäre. Ausserdem handelt es sich bei vier der Lecks um Varianten von Lücken, die bereits 2021 gepatcht wurden und die in einer Variante aber erneut für Angriffe missbraucht wurden. Dabei wurden einerseits fehlerhafte Code-Passagen korrigiert, wie sie in Proof-of-Concepts eingesetzt werden, nicht aber der eigentliche Fehler. Angreifer seien so in der Lage, das selbe Leck über einen anderen Weg auszunützen. Andererseits werden Schwachstellen zwar behoben, im Verlauf des Entwicklungsprozesses schleichen sich aber neue Fehler ein.
Wie eine Aufstellung der erneut ausgenutzten Schwachstellen zeigt, sind die Schwachstellen in den meisten gängigen Plattformen wie Windows, iOS oder Android zu finden.
(rd)
