Categories: Software

Google: Schlechte Software-Fixes für Hälfte aller Zero-Day-Exploits verantwortlich

Forscher von Googles Project Zero haben 18 Zero-Day-Lücken untersucht, die in diesem Jahr von Hacker ausgenutzt wurden, bevor ein Patch verfügbar war. Dabei stellten sie fest, dass die Hälfte der Schwachstellen hätte vermieden werden können, wenn die Softwarehersteller bei der Entwicklung und den Tests von Patches sorgfältiger gewesen wären.

In die Untersuchung sind Zero-Day-Lücken in Software wie Microsoft Windows, Apple iOS und WebKit, Google Chromium und Pixel sowie Confluence Server von Atlassian eingeflossen. Google Project Zero beschränkte sich allerdings auch Zero-Day-Lücken großer Softwareanbieter – die Auswertung bezieht sich also nicht auf alle Zero-Day-Lücken des Jahres 2022.

„Mindestens die Hälfte der Zero-Days, die wir in den ersten sechs Monaten des Jahres 2022 gesehen haben, hätten durch umfassendere Patches und Regressionstests verhindert werden können. Hinzu kommt, dass vier der Zero-Days aus dem Jahr 2022 Varianten von “in-the-wild”- Zero-Days aus dem Jahr 2021 sind. Nur 12 Monate, nachdem der ursprüngliche In-the-Wild Zero-Day gepatcht worden war, kamen die Angreifer mit einer Variante des ursprünglichen Fehlers zurück“, schreibt Maddie Stone von Googles Project Zero in einem Blogeintrag.

Patches von Microsoft und Google nicht besser als „Heftpflaster“

2021 erreichte die Zahl der Zero-Day-Lücken einen neuen Höchststand. Allerdings führt Google diese Statistik erst seit fünf Jahren. Den Anstieg erklärt das Unternehmen unter anderem damit, dass Forscher heute mehr Erfahrung haben bei der Erkennung von aktiv ausgenutzten Zero-Day-Lücken. Google weist aber auch darauf hin, dass Browser heute ähnlich komplex seien wie Betriebssysteme – zudem seien Browser nach dem Wegfall von Plug-ins wie Flash heute eines der wichtigsten Ziele von Hackern.

Stone fordert zudem, dass die Softwarehersteller stärker gegen bestimmte Fehlerklassen vorgehen. 67 Prozent der 2021 gemeldeten Zero-Day-Lücken seien Speicherfehler gewesen. Laut Chrome Security Team lassen sich bestimmte Speicherfehler allerdings nur zu Lasten der Performance vermeiden. Auch sei es nicht praktikabel, die Codebasis von Chrome von C++ auf beispielsweise Rust umzustellen, das mehr Speichersicherheit als C und C++ biete.

Darüber hinaus beklagt Stone, dass einige Patches nicht viel besser seien als Heftpflaster. Diesen Vorwurf richtete sie gegen Microsoft und auch gegen ihren Arbeitgeber Google. „Viele der In-the-wild Zero-Days des Jahres 2022 sind darauf zurückzuführen, dass die vorherige Schwachstelle nicht vollständig gepatcht wurde. Im Fall der Windows win32k- und der Chromium Property Access Interceptor-Schwachstellen wurde zwar der Ausführungsfluss, den die Proof-of-Concept-Exploits nahmen, gepatcht, aber das ursächliche Problem wurde nicht behoben: Angreifer konnten zurückkommen und die ursprüngliche Schwachstelle über einen anderen Weg auslösen.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

18 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

19 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

20 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago