Четверть всех уязвимостей нулевого дня, эксплуатируемых в реальных атаках в 2020 году, были разновидностями ранее исправленных проблем.
Команда специалистов Project Zero компании Google выявила 24 уязвимости нулевого дня, проэксплуатированных злоумышленниками в 2020 году. По словам экспертов, четверть проблем можно было бы избежать , если бы поставщики надлежащим образом исправляли свои продукты.
Шесть из них были вариациями уязвимостей, обнаруженных в предыдущие годы, когда злоумышленники имели доступ к более ранним отчетам, позволившим изучить старую проблему и развернуть новую версию эксплоита. По словам экспертов, в некоторых случаях достаточно было изменить одну или две строки кода, чтобы получить новый работающий эксплоит.
Как отметили специалисты, первые патчи для уязвимостей нулевого дня в Chrome (CVE-2020-6572), Internet Explorer (CVE-2020-0674) и Windows ( CVE-2020-0986 ) требовали дополнительных исправлений. Если бы злоумышленник провел анализ данных исправлений, он мог бы легко создать новые эксплоиты, повторно эксплуатировать ту же уязвимость и продолжить свои атаки.
Исследователи сообщили, что подобных ситуаций можно было бы избежать, если бы поставщики более тщательно исследовали основную причину проблем и больше инвестировали в процесс исправления.
Никаких овечек — только отборные научные факты