Categories: Software

Google: Schlechte Software-Fixes für Hälfte aller Zero-Day-Exploits verantwortlich

Forscher von Googles Project Zero haben 18 Zero-Day-Lücken untersucht, die in diesem Jahr von Hacker ausgenutzt wurden, bevor ein Patch verfügbar war. Dabei stellten sie fest, dass die Hälfte der Schwachstellen hätte vermieden werden können, wenn die Softwarehersteller bei der Entwicklung und den Tests von Patches sorgfältiger gewesen wären.

In die Untersuchung sind Zero-Day-Lücken in Software wie Microsoft Windows, Apple iOS und WebKit, Google Chromium und Pixel sowie Confluence Server von Atlassian eingeflossen. Google Project Zero beschränkte sich allerdings auch Zero-Day-Lücken großer Softwareanbieter – die Auswertung bezieht sich also nicht auf alle Zero-Day-Lücken des Jahres 2022.

„Mindestens die Hälfte der Zero-Days, die wir in den ersten sechs Monaten des Jahres 2022 gesehen haben, hätten durch umfassendere Patches und Regressionstests verhindert werden können. Hinzu kommt, dass vier der Zero-Days aus dem Jahr 2022 Varianten von “in-the-wild”- Zero-Days aus dem Jahr 2021 sind. Nur 12 Monate, nachdem der ursprüngliche In-the-Wild Zero-Day gepatcht worden war, kamen die Angreifer mit einer Variante des ursprünglichen Fehlers zurück“, schreibt Maddie Stone von Googles Project Zero in einem Blogeintrag.

Patches von Microsoft und Google nicht besser als „Heftpflaster“

2021 erreichte die Zahl der Zero-Day-Lücken einen neuen Höchststand. Allerdings führt Google diese Statistik erst seit fünf Jahren. Den Anstieg erklärt das Unternehmen unter anderem damit, dass Forscher heute mehr Erfahrung haben bei der Erkennung von aktiv ausgenutzten Zero-Day-Lücken. Google weist aber auch darauf hin, dass Browser heute ähnlich komplex seien wie Betriebssysteme – zudem seien Browser nach dem Wegfall von Plug-ins wie Flash heute eines der wichtigsten Ziele von Hackern.

Stone fordert zudem, dass die Softwarehersteller stärker gegen bestimmte Fehlerklassen vorgehen. 67 Prozent der 2021 gemeldeten Zero-Day-Lücken seien Speicherfehler gewesen. Laut Chrome Security Team lassen sich bestimmte Speicherfehler allerdings nur zu Lasten der Performance vermeiden. Auch sei es nicht praktikabel, die Codebasis von Chrome von C++ auf beispielsweise Rust umzustellen, das mehr Speichersicherheit als C und C++ biete.

Darüber hinaus beklagt Stone, dass einige Patches nicht viel besser seien als Heftpflaster. Diesen Vorwurf richtete sie gegen Microsoft und auch gegen ihren Arbeitgeber Google. „Viele der In-the-wild Zero-Days des Jahres 2022 sind darauf zurückzuführen, dass die vorherige Schwachstelle nicht vollständig gepatcht wurde. Im Fall der Windows win32k- und der Chromium Property Access Interceptor-Schwachstellen wurde zwar der Ausführungsfluss, den die Proof-of-Concept-Exploits nahmen, gepatcht, aber das ursächliche Problem wurde nicht behoben: Angreifer konnten zurückkommen und die ursprüngliche Schwachstelle über einen anderen Weg auslösen.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

22 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

23 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago