Google Project Zero, het securityteam van de zoekgigant, heeft dit jaar al 11 zero-day-kwetsbaarheden ontdekt in het wild. Dat aantal is identiek aan dezelfde periode vorig jaar. In totaal werden er in 2019 twintig zero-days ontdekt in het wild.
Wie dieper wil graven in alle ontdekte zero-days, kan terecht in een online spreadsheet die het Google-team bijhoudt. Je kan hierin statistieken vinden die terug gaan tot 2014. Microsoft staat net als vorig jaar bovenaan met vier zero-days, waarvan een in Internet Explorer. De drie andere werden verholpen in de April 2020 Patch Tuesday.
Firefox staat op een weinig eervolle tweede plaats met drie zero-days. Samen met de zero-day in Internet Explorer zou de kwetsbaarheid zijn gebruikt om China en Japan te bespioneren. Het is echter onduidelijk volgens ZDNet of de bron van de aanval van Noord- of Zuid-Korea komt.
Trend Micro is verantwoordelijk voor twee zero-days die door eigen Trend Micro-medewerkers werden ontdekt in een onderzoek naar een zero-day-lek in 2019 waarbij Mitsubishi Electric werd gehackt.
Tot slot sluit Sophos de lijst af met een zero-day in de XG Firewall. Het bedrijf loste onmiddellijk een noodpatch en volgde het advies van de securityspecialist om wachtwoorden te resetten en firewall-apparaten opnieuw op te starten.
Statistieken
Door in de statistieken van Google Project Zero te duiken, valt op dat vorig jaar elf van de twintig zero-days in Microsoft-producten werden ontdekt. Meer dan de helft van alle zero-days in 2019 werden ontdekt door twee teams: Google met zeven ontdekkingen en Kaspersky met vier. Sinds 2014 werd er geen zero-day ontdekt die actief werd misbruikt op Linux, Safari of macOS.
Google vermoedt echter dat sommige softwarefabrikanten bugfixes gebruiken om zero-days die actief worden geëxploiteerd te verbergen. Dat Microsoft zo dominant naar voor komt, heeft vooral te maken met veelgebruikte security-tools die sterk focussen op Windows-bugs.
Het aantal zero-days op mobiele platformen zijn veel moeilijker vindbaar omdat apps een sandbox gebruiken en mobiele besturingssystemen veel strikter zijn gereglementeerd.
Tot slot valt op dat meer dan 60 procent van alle zero-day-kwetsbaarheden in 2019 een bug in het geheugen misbruikten. In 2020 zitten we vandaag op hetzelfde niveau. HIermee bevestigt het securityteam van Google 70 procent van alle Microsoft securitybugs en 70 procent van alle Chrome-kwetsbaarheden het resultaat zijn van veiligheidsproblemen in het geheugen.