“جوجل تدق ناقوس الخطر: رقم قياسي لثغرات يوم الصفر”
يمثل التطوير أكثر من قفزة ذات شقين من الحد الأقصى السابق عندما تم تتبع 28 مآثرًا لمدة يوم في عام 2015. وعلى النقيض من ذلك ، تم اكتشاف 25 مآثر فقط في اليوم في عام 2020.
متابعات-ميكسي نيوز
جوجل….دعا Google Project Zero 2021 “سنة قياسية لـ” 0 أيام “، كما 58 نقاط الضعف الأمنية تم الكشف عنها والكشف عنها خلال العام.
يمثل التطوير أكثر من قفزة ذات شقين من الحد الأقصى السابق عندما تم تتبع 28 مآثرًا لمدة يوم في عام 2015.
وعلى النقيض من ذلك ، تم اكتشاف 25 مآثر فقط في اليوم في عام 2020.
“يرجع الارتفاع الكبير في 0 أيام في عام 2021 إلى زيادة الكشف عن هذه الأيام 0 ، بدلاً من زيادة استخدام مآثر 0 يومًا” ، مادي ستون قال.
وأضاف ستون “المهاجمون ينجحون في استخدام نفس أنماط الأخطاء وتقنيات الاستغلال وتلتبع نفس أسطح الهجوم”.
وصف فريق الأمن في شركة Tech Giant الداخلية المآثر بأنها تشبه نقاط الضعف السابقة والمعروفة للجمهور ، مع وجود اثنين منهم فقط مختلفان بشكل ملحوظ عن التطور الفني واستخدام الأخطاء المنطقية للهروب من صندوق الرمل.
كلاهما يرتبط بـ Hoverentry ، أ صفر انقر فوق استغلال imessage المنسوبة إلى مجموعة المراقبة الإسرائيلية NSO Group. وقال ستون “كان الاستغلال عملًا مثيرًا للإعجاب”.
إن Escape Sandbox Escape “ملحوظ لاستخدام الأخطاء المنطقية فقط” ، باحثو Google Zero Ian Beer و Samuel Groß أوضح الشهر الماضي. “الوجبات الجاهزة الأكثر إثارة للدهشة هي عمق سطح الهجوم الذي يمكن الوصول إليه مما نأمل أن يكون صندوق رمل مقيد إلى حد ما.”
يوضح انهيار منصة من هذه المآثر أن معظم أيام الـ 0 التي نشأت من Chromium (14) ، تليها Windows (10) ، Android (7) ، WebKit/Safari (7) ، Microsoft Exchange Server (5) ، iOS/MacOS (5) ، و Internet Explorer (4).
من بين 58 أيامًا في الـ 5 أيام لوحظت في عام 2021 ، كانت 39 نقاط الضعف في الفساد في الذاكرة ، حيث تنبع الحشرات كنتيجة لخالية من الاستخدام (17) ، وقراءة وكتابة خارجية (6) ، وتدفق العازلة (4) ، وتدفقات الصداقة (4).
تجدر الإشارة أيضًا إلى أن 13 من أصل 14 يومًا من كروم 0 أيام كانت ثغرات الفساد في الذاكرة ، والتي بدورها ، كانت بدورها منافسات الضعف الخالية من الاستخدام.
والأكثر من ذلك ، أشار Google Project Zero إلى عدم وجود أمثلة عامة تسليط الضوء على استغلال العيوب لمدة 0 يومًا في خدمات المراسلة مثل WhatsApp و Signal و Telegram بالإضافة إلى مكونات أخرى ، بما في ذلك نوى وحدة المعالجة المركزية ، وشرائح Wi-Fi ، والسحابة.
وقال ستون: “هذا يؤدي إلى مسألة ما إذا كانت هذه الأيام 0 غائبة بسبب نقص الكشف ، أو قلة الكشف ، أو كليهما؟” ، مضيفًا ، “كصناعة لا نجعلها صعبة لمدة 0 يومًا”.
“سيكون 0 يومًا أصعب عندما يكون المهاجمون ، بشكل عام ، غير قادرين على استخدام الأساليب والتقنيات العامة لتطوير مآثرهم لمدة 0 يومًا ،” إجبارهم “على البدء من الصفر في كل مرة نكتشف فيها أحد مآثرهم”.
