En fjerdedel af alle nul-dage, der blev udnyttet i naturen i 2020, var variationer af tidligere lappede sårbarheder.
Google sagde i dag, at en fjerdedel af alle de nul-dages sårbarheder, der blev opdaget ved at blive udnyttet i naturen i 2020, kunne have været undgået, hvis leverandører havde rettet deres produkter korrekt.
Virksomheden sagde det gennem sit Project Zero-sikkerhedsteam opdaget 24 nul-dage udnyttet af angribere i 2020.
Seks af disse var variationer af sårbarheder afsløret i tidligere år, hvor angribere havde adgang til ældre fejlrapporter, så de kunne studere det tidligere problem og implementere en ny udnyttelsesversion.
"Nogle af disse 0-dages udnyttelser behøvede kun at ændre en linje eller to kode for at have en ny fungerende 0-dages udnyttelse," sagde Maddie Stone, et medlem af Project Zero-teamet, i dag i en blogindlæg.
Dette inkluderede nul-dage i Chrome, Firefox, Internet Explorer, Safari og Windows.
Desuden kunne tre andre nul-dage opdaget og lappet i 2020 være blevet udnyttet på en lignende måde.
Stone sagde, at indledende patches i tre nul-dage - som påvirker Chrome, Internet Explorer og Windows - krævede yderligere rettelser.
Hvis en trusselaktør ville have undersøgt patches, kunne de nemt have skabt nye udnyttelser og genvåben den samme sårbarhed og fortsætte deres angreb.
Stone, som også præsenterede hendes resultater på USENIX Enigma virtuelle sikkerhedskonference sagde i denne uge, at denne situation kunne have været undgået, hvis leverandører havde undersøgt årsagen til fejlene i større dybde og investeret mere i patching-processen.
Project Zero-forskeren opfordrede andre sikkerhedseksperter til at drage fordel af, når en zero-day-sårbarhed afsløres, og analysere den i større dybde.
Stone hævdede, at nul-dage giver et vindue ind i en angribers sind, som forsvarere bør drage fordel af og forsøge at lære om de indgangsvektorer, en angriber forsøger at udnytte, bestemme sårbarhedsklassen og derefter implementere omfattende afbødninger.
Stone sagde, at dette var den oprindelige grund til, at Google Project Zero-teamet blev grundlagt for år siden, nemlig at "lære af 0-dage, der blev udnyttet i naturen for at gøre 0-dage hårde."
Alle de store Intel-sårbarheder
Sikkerhed
- 8 vaner hos yderst sikre fjernarbejdere
- Sådan finder og fjerner du spyware fra din telefon
- De bedste VPN-tjenester: Hvordan sammenligner top 5?
- Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu