The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google опубликовал отчёт о 0-day уязвимостях, выявленных в 2022 году

31.07.2023 14:11

Компания Google опубликовала отчёт о 0-day уязвимостях, эксплоиты для которых появились раньше, чем были разработаны исправления для связанного с ними уязвимого ПО. За 2022 год командой Project Zero была выявлена 41 подобная уязвимость, что на 40% меньше, чем было найдено в 2021 году (69 0-day уязвимостей). Несмотря на заметное снижение числа 0-day уязвимостей по сравнению с 2021 годом, их число продолжает превышать средние показатели предыдущих 6 лет.



Появлению большого числа 0-day уязвимостей потенциально способствуют такие факторы, как сохранение потребности злоумышленников в 0-day эксплоитах для совершения атак и упрощение методов поиска подобных уязвимостей: повышение оперативности применения исправлений вынуждает искать 0-day уязвимости, а не пользоваться уже известными проблемами; недостаточно качественная разработка исправлений позволяет авторам эксплоитов находить новые векторы атаки для уже известных уязвимостей.

Например, более 40% (17 из 41) из выявленных в 2022 году 0-day эксплоитов были связаны с ранее публично раскрытыми и исправленными уязвимостями. Подобная возможность возникает из-за недостаточно полного или некачественного исправления уязвимостей - разработчики уязвимых программ часто устраняют лишь частный случай или просто создают видимость исправления, не докапываясь до корня проблемы. Подобных 0-day уязвимостей потенциально можно было избежать при более тщательном изучении и исправлении уязвимостей.

Снижение числа 0-day уязвимостей по сравнению с 2021 годом может объяснятся тем, что для создания 0-day эксплоитов требуется больше времени, знаний и денег, число пригодных для эксплуатации уязвимостей снижается из-за более активного применения методов защиты, для каждого эксплоита часто приходится разрабатывать новую технику эксплуатации. Снижение числа 0-day уязвимостей также может быть связано с использованием более простых методов атак, таких как фишинг и распространение вредоносного ПО. Так же может влиять возможность обойтись эксплоитами к уже известным уязвимостям из-за затягивания пользователями применения исправлений.

В отчёте делается вывод, что эксплоиты для n-day уязвимостей, для которых уже выпущены исправления, в экосистеме платформы Android оказываются не менее эффективными, чем 0-day уязвимости, из-за запаздывания поставщиков с формированием обновлений. Например, даже если Google оперативно устранит уязвимость в основной платформе Android, исправление этой уязвимости может быть доведено до большей части пользователей лишь спустя месяцы, так как производители конечных устройств часто запаздывают с переносом исправлений в свои редакции прошивок.

В качестве примера приводится уязвимость CVE-2022-3038, выявленная в движке браузера Chrome 105 и устранённая в июне 2022 года. Данная уязвимость долгое время оставалась неисправленной в специфичных для отдельных производителей браузерах, таких как Samsung Internet. В декабре 2022 года были выявлены факты атак на пользователей Samsung, применяющих эксплоит для данной уязвимости (в декабре актуальный выпуск браузера Samsung Internet продолжал использовать движок Chromium 102, выпущенный в мае 2022 года).

При этом для браузеров также наблюдается смещение интересов создателей эксплоитов в пользу 0-click уязвимостей вместо 1-click. Под 0-click подразумеваются уязвимости, не требующие действий от пользователя, обычно затрагивающие другие компоненты, а не сам код браузера. Например, в вышеупомянутом эксплоите помимо уязвимости CVE-2022-3038 в движке Chromium, которая позволяла обойти ограничение sandbox, была задействована ещё одна уязвимость CVE-2022-22706 в драйвере GPU ARM Mali, которая была исправлена компанией ARM в январе 2022 года, но осталась неисправленной в прошивках Samsung. Более того, несмотря на то, что первые эксплоиты для уязвимости в драйвере Mali появились ещё в январе 2022 года, в прошивке Samsung уязвимость CVE-2022-22706 была устранена только в мае 2023 года, а в Android Security Bulletin данная проблема была отражена в июне 2023 года, т.е. спустя 17 месяцев после публикации патча компанией ARM.

  1. Главная ссылка к новости (https://security.googleblog.co...)
  2. OpenNews: Google отключил поддержку io_uring в ChromeOS и Android из-за плачевного состояния безопасности
  3. OpenNews: В 2022 году Google выплатил 12 млн долларов вознаграждений за выявление уязвимостей
  4. OpenNews: Кейс Кук из Google призвал модернизировать процесс работы над ошибками в ядре Linux
  5. OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
  6. OpenNews: Google занялся продвижением средств безопасной работы с памятью в открытом ПО
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59524-exploit
Ключевые слова: exploit, security, google
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, лютый арчешкольник... (?), 14:44, 31/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Например, даже когда Google оперативно устраняет уязвимости в основной платформе Android

    как пафосно... при этом на пиксель обновы прилетают ровно 5го числа. Это если руками проверить, а сам пуксель может еще 2 недели подождать до автоапдейта

     
     
  • 2.21, Аноним (21), 18:09, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    GrapheneOS
     
     
  • 3.30, Самый Лучший Гусь (?), 20:56, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Значение знаешь?
     
     
  • 4.41, Аноним (-), 06:34, 01/08/2023 Скрыто ботом-модератором
  • +/
     

  • 1.2, Аноним (2), 14:47, 31/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Пишут про Самсунг, который хоть что-то обновляет. А у мена не Самсунг: там никто ничего не обновляет :)
     
     
  • 2.3, Аноним (3), 14:53, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    сам виноват, башкой надо было думать перед покупкой
     
     
  • 3.5, Аноним (5), 14:55, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нечего же скрывать.
     
  • 2.4, Аноним (5), 14:55, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но ведь пользователи андроида должны страдать по определению.
     
  • 2.6, Kuromi (ok), 15:04, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да никто там почти ничего не обновляет. Как Гугл не пыжится обнов не будет. Раньше вендорики говорили что это потому что сложно пилить образы проишвок - им упростили. Вендорики стали жаловаться что это потому что с дровами возиться надо - им упростили, все что возможно разделили. Вендорики просто находят все новые поводы, а все почему? Да потмоу что смартфон это товар, причем предпологается одноразовым. Продал, через месяца два-три новую модель на рынок выкинул, толкаешь её. Никакого им резона прошки обновлять нет, это лишь сдерживает продажи.

    Сейчас еще ждите начнется вой касательно съемных батареек (ЕС требует их вернуть). Вот это будет цирк.

     
     
  • 3.7, Аноним (7), 15:13, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Да никто там почти ничего не обновляет

    Правда что ли?
    Ну вот у меня вторым телефоном бюджетный Realme C25s, на него постоянно прилетают обновления, а на днях прилетело даже с 12 до 13 Андроида
    И это бюджетник которому больше двух лет
    Так что там про "никто не обновляет"?

    До этого был Poco X3 Pro, тоже прилетали обновы постоянно
    Что ты там такое покупаешь, что обновлений нет???

     
     
  • 4.12, ryoken (ok), 15:37, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Что ты там такое покупаешь, что обновлений нет???

    Это особо китайский китай может быть. Ровно с 1-й заводской прошивкой и авгиевыми конюшнями "встроенных приложений".

    Люди, руководствуйтесь HCL для LineageOS :). (Мой Xiaomi Mi5SPlus года 3 как обновляется еженедельно +\- переезды на новые релизы Андроида).

     
     
  • 5.22, Аноним (22), 18:49, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не поддерживают они мой не особо бюджетный смарт. Пилят только то, что лично у них есть. А мне самому пилить ну вообще ни какого интереса нет. Лучше выкинуть и новый купить.
     
     
  • 6.29, penetrator (?), 20:56, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    они поддерживают только то, что позволяет разлочить загрузчить без танцев с бубном и только Qualcomm

    ну вот как-то так

    поэтому в основном Pixel и 1+

     
  • 4.14, Аноним (14), 15:49, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >прилетали обновы

    Что-то прилетело, что-то улетело :)
    https://www.opennet.ru/opennews/art.shtml?num=58613

     
  • 3.10, Аноним (5), 15:34, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А том то всё и дело что ничего не упростили. Это пустые слова для простых обывателей. Они всему верят.
     
  • 3.18, Аноним (14), 16:41, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >обнов не будет

    У Самсунга и Гугла с поддержкой всё намного лучше, чем у других андроид смартов.
    https://www.ixbt.com/news/2023/03/16/samsung-galaxy-a54-galaxy-a34-5.html

     
  • 3.34, Аноним (34), 22:23, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Сейчас еще ждите начнется вой касательно съемных батареек (ЕС требует их вернуть). Вот это будет цирк.

    Это ещё что ... закон о кибербезопасности Евросоюза обяжет вендоров устройств, продающихся на территории евросоюза, обновы выпускать.

     
  • 3.38, soarin (ok), 06:07, 01/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Да потмоу что смартфон это товар, причем предпологается одноразовым.

    Так пользователи такое выбирают.

     
  • 2.15, Sw00p aka Jerom (?), 16:21, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Пишут про Самсунг, который хоть что-то обновляет.

    ага бекдоры обновляет, чтоб мамкины хакиры из гугл проджекта позже находили.

     
     
  • 3.24, dannyD (?), 19:34, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    запомните раз и на всегда:

    самсунг логирует всё до чего может дотянутся.

    ВСЁ - все движения на сайте, все прошивки, весь софт на ПК, телефонах.

    вот нет у меня их смартТВ, поэтому не проверял, но уверен на 99,9% что каждое нажатие кнопки ДУ сливается.

     
     
  • 4.27, Аноним (-), 20:00, 31/07/2023 Скрыто ботом-модератором
  • +/
     
  • 2.40, soarin (ok), 06:11, 01/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > у мена не Самсунг: там никто ничего не обновляет

    Зато у тебя «топ за свои деньги»

     

  • 1.8, Аноним (8), 15:19, 31/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Два разнонаправленных процесса:
    Смузихлебы клепают дырявый смузикод, и с каждым годом таких пограммистов становится все больше.
    Смузихлебам "сложна" искать новые дырки ибо компетенция не позволяет, и с каждым годом таких искателей становится все больше.

    Придем ли мы в итоге с ситуации, когда 100% кода дырявые, но уже никто кроме ЧадГПТ не умеет это обнаружить?

     
     
  • 2.9, Аноним (9), 15:30, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Смузихлебы клепают дырявый смузикод

    Судя по новостям, чаще всего это дидовы ошибки с use-after-free или выходы за границы буфера/массива.

     
  • 2.11, Аноним (5), 15:37, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если никто не умеет обнаруживать никто не умеет и эксплуатировать.
     
  • 2.13, Аноним (13), 15:37, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > когда 100% кода дырявые

    Так давно уже.

     
  • 2.16, commiethebeastie (ok), 16:21, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это с каких пор индийцы - смузихлёбы?
     
     
  • 3.19, Аноним (19), 17:39, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да примерно с тех пор, как они йогуртовые культуры открыли, то есть пару тысяч лет как. Гугли «lassi», годная штука. Особенно рекомендую bhang lassi, помогает, так сказать, разблокировать чакры, если понимаешь о чём я.
     
     
  • 4.42, commiethebeastie (ok), 12:14, 01/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раскрыл мировой заговор.
     
  • 2.31, Tron is Whistling (?), 21:46, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ЧадЖпт будет тоже дырявый.
     
     
  • 3.33, пох. (?), 22:19, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он уже. И никто из разработчиков не может объяснить, что с ним не так.
     
  • 2.37, Аноним (37), 01:53, 01/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ЩАс смузихлебы начнут выкладывать кучу кода сгенереного ChatGPT назад в гитхаб, и на этом говнокоде будет учится новая версия GPT вот тут цирк и начнется.
     

  • 1.20, Аноним (20), 17:52, 31/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На андройд все кладут с обновой.
     
  • 1.23, Anonim (??), 18:53, 31/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А Эксчендж не винда ? почему оно отдельным пунктом на втором графике?
     
     
  • 2.25, mikhailnov (ok), 19:49, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С чего бы ему быть виндой?
     
     
  • 3.35, Аноним (35), 22:46, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я чтото пропустил и его уже можно не на винду поставить ?
     
     
  • 4.36, mikhailnov (ok), 22:53, 31/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кодовая база, продукт-то отдельный от винды
     

  • 1.28, pavlinux (ok), 20:27, 31/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Компания Google опубликовала эксплоиты раньше, чем появились уязвимости.
     
  • 1.32, Аноньимъ (ok), 22:07, 31/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Появлению большого числа 0-day уязвимостей потенциально способствуют такие факторы, как сохранение потребности злоумышленников в 0-day эксплоитах

    А может дело в ускорении темпов разработки и или массовых увольнениях специалистов?

    >Снижение числа 0-day уязвимостей по сравнению с 2021 годом может объяснятся там, что для создания 0-day эксплоитов требуется больше времени, знаний и денег

    Или может дело в кризисе разработки вызванном экономикой и массовыми увольнениями?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру