Bu yıl şimdiye kadar, bir analize göre, vahşi doğada yama uygulanmamış sıfır gün olarak toplam 18 güvenlik açığından yararlanıldı ve bunların yarısı önlenebilir kusurlardı.
Google’ın Sıfır Projesi’ne göre, sorunlardan dokuzu daha önce yamalanmış hataların varyantlarıydı ve dördü önceki 2021 vahşi sıfır gün hatalarının varyantlarıydı. Project Zero’dan Maddie Stone, bunlar daha önce görülen güvenlik zayıflıklarıyla yakından ilişkili olduğundan, sıfırıncı gün açıklarının o kadar gelişmiş olduğu ve savunucuların onları yakalamayı umamayacağı teorisinde bir delik açıyor, diyor.
“[After] orijinal vahşi sıfır gün [was] yamalı, saldırganlar orijinal hatanın bir çeşidiyle geri geldi” diye açıklıyor Perşembe blog yazısı. “2022 vahşi 0 günlerinin çoğu, önceki güvenlik açığının tam olarak yamalanmamasından kaynaklanıyor.”
2022 sıfır gün listesi, Apple iOS, Atlassian Confluence, Chromium, Google Pixel, Linux, WebKit ve tabii ki Windows (Follina ve PetitPotam güvenlik açıkları dahil) dahil olmak üzere çok çeşitli platformları etkiliyor.
Bu durumlardan bazılarında (Windows win32k ve Chromium), kavram kanıtı saldırı yoluna yama uygulandı, ancak asıl neden değil, bu nedenle saldırganlar orijinal güvenlik açığını farklı bir yoldan tetikleyebilir. Stone, PetitPotam gibi diğer durumlarda, orijinal güvenlik açığı düzeltildi, ancak “saldırganların aynı güvenlik açığından tekrar yararlanabilmesi için bir noktada geri çekildi” diyor.
“Amaç, saldırganları, istismarlarından birini her tespit ettiğimizde sıfırdan başlamaya zorlamak: yepyeni bir güvenlik açığı keşfetmeye zorlanıyorlar, yeni bir saldırı yüzeyini öğrenmek ve analiz etmek için zaman harcamak zorundalar, bir saldırı yüzeyi geliştirmek zorundalar. yepyeni bir sömürü yöntemi” diyor. “Bunu etkili bir şekilde yapmak için doğru ve kapsamlı düzeltmelere ihtiyacımız var.”