Categories: Software

Google: Schlechte Software-Fixes für Hälfte aller Zero-Day-Exploits verantwortlich

Forscher von Googles Project Zero haben 18 Zero-Day-Lücken untersucht, die in diesem Jahr von Hacker ausgenutzt wurden, bevor ein Patch verfügbar war. Dabei stellten sie fest, dass die Hälfte der Schwachstellen hätte vermieden werden können, wenn die Softwarehersteller bei der Entwicklung und den Tests von Patches sorgfältiger gewesen wären.

In die Untersuchung sind Zero-Day-Lücken in Software wie Microsoft Windows, Apple iOS und WebKit, Google Chromium und Pixel sowie Confluence Server von Atlassian eingeflossen. Google Project Zero beschränkte sich allerdings auch Zero-Day-Lücken großer Softwareanbieter – die Auswertung bezieht sich also nicht auf alle Zero-Day-Lücken des Jahres 2022.

„Mindestens die Hälfte der Zero-Days, die wir in den ersten sechs Monaten des Jahres 2022 gesehen haben, hätten durch umfassendere Patches und Regressionstests verhindert werden können. Hinzu kommt, dass vier der Zero-Days aus dem Jahr 2022 Varianten von “in-the-wild”- Zero-Days aus dem Jahr 2021 sind. Nur 12 Monate, nachdem der ursprüngliche In-the-Wild Zero-Day gepatcht worden war, kamen die Angreifer mit einer Variante des ursprünglichen Fehlers zurück“, schreibt Maddie Stone von Googles Project Zero in einem Blogeintrag.

Patches von Microsoft und Google nicht besser als „Heftpflaster“

2021 erreichte die Zahl der Zero-Day-Lücken einen neuen Höchststand. Allerdings führt Google diese Statistik erst seit fünf Jahren. Den Anstieg erklärt das Unternehmen unter anderem damit, dass Forscher heute mehr Erfahrung haben bei der Erkennung von aktiv ausgenutzten Zero-Day-Lücken. Google weist aber auch darauf hin, dass Browser heute ähnlich komplex seien wie Betriebssysteme – zudem seien Browser nach dem Wegfall von Plug-ins wie Flash heute eines der wichtigsten Ziele von Hackern.

Stone fordert zudem, dass die Softwarehersteller stärker gegen bestimmte Fehlerklassen vorgehen. 67 Prozent der 2021 gemeldeten Zero-Day-Lücken seien Speicherfehler gewesen. Laut Chrome Security Team lassen sich bestimmte Speicherfehler allerdings nur zu Lasten der Performance vermeiden. Auch sei es nicht praktikabel, die Codebasis von Chrome von C++ auf beispielsweise Rust umzustellen, das mehr Speichersicherheit als C und C++ biete.

Darüber hinaus beklagt Stone, dass einige Patches nicht viel besser seien als Heftpflaster. Diesen Vorwurf richtete sie gegen Microsoft und auch gegen ihren Arbeitgeber Google. „Viele der In-the-wild Zero-Days des Jahres 2022 sind darauf zurückzuführen, dass die vorherige Schwachstelle nicht vollständig gepatcht wurde. Im Fall der Windows win32k- und der Chromium Property Access Interceptor-Schwachstellen wurde zwar der Ausführungsfluss, den die Proof-of-Concept-Exploits nahmen, gepatcht, aber das ursächliche Problem wurde nicht behoben: Angreifer konnten zurückkommen und die ursprüngliche Schwachstelle über einen anderen Weg auslösen.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

DRK stattet Seniorenheime mit Alexa aus

Amazons Sprachtechnologie soll in Alten- und Pflegeheimen sowie bei ambulanten Pflegediensten des Roten Kreuzes zum…

19 Stunden ago

Responsible AI durch Vertrauen, Security und Governance

Bei der Einführung von KI in Unternehmen ist es entscheidend, dass sie verantwortungsvolle KI-Praktiken priorisieren,…

3 Tagen ago

Adesso migriert ERP der Amedes-Gruppe auf SAP S/4HANA

Der IT-Dienstleister migriert das bestehende ERP-System SAP R/3 der amedes-Gruppe auf RISE with SAP S/4HANA…

3 Tagen ago

SEO-Betreuung für IT-Unternehmen: Welche Leistungen sollte eine SEO-Betreuung beinhalten?

Eine monatliche SEO-Betreuung ist für Unternehmen unverzichtbar, dient sie doch dazu, die Sichtbarkeit in Google…

4 Tagen ago

KI-Gipfel in Paris: Meilenstein für eine gemeinsame Aneignung der KI?

Der KI-Gipfel hatte das klare Ziel, Frankreich und Europa als zentrale Akteure im Bereich der…

4 Tagen ago

Siemens verbessert Infrastrukturlösung für Campusnetze

Das Technologieunternehmen erweitert seine private 5G-Infrastruktur, um größere Industrieflächen abdecken zu können.

4 Tagen ago