Предыдущий рекорд составил 28 уязвимостей нулевого дня, обнаруженных в 2015 году.
В прошлом году специалисты в области кибербезопасности компании Google обнаружили 58 уязвимостей нулевого дня, которые использовались в реальных атаках. Это рекордное количество, зафиксированное командой Project Zero с начала ее работы в середине 2014 года. Предыдущий рекорд составил 28 уязвимостей нулевого дня, обнаруженных в 2015 году.
Из 58 проблем, эксплуатируемых в прошлом году, 56 аналогичны ранее известным уязвимостям. 39 проблем (67%) представляют собой уязвимости повреждения памяти, и большинство из них относятся к следующим известным классам:
17 уязвимостей использования после освобождения;
6 уязвимостей чтения и записи за пределами поля;
4 уязвимости переполнения буфера;
4 уязвимости целочисленного переполнения.
Две прошлогодних уязвимости нулевого дня привлекли особое внимание. Одной из них (CVE-2021-30860) была zero-click уязвимость в iMessage. Операторы шпионского ПО Pegasus использовали эту проблему с целью заразить телефоны жертв, извлечь данные и осуществить другой шпионаж.
Вторая уязвимость была связана с побегом из песочницы в iOS. Эксплоит использовал только логические ошибки, а не ошибки повреждения памяти, чтобы выйти из песочницы.
В web-браузере Chromium в 2021 году было обнаружено рекордное количество уязвимостей нулевого дня — 14. Из 14 проблем 10 были уязвимостями удаленного выполнения кода в средстве визуализации, 2 были связаны с побегом из песочницы, 1 — с утечкой информации и еще 1 использовалась для открытия web-страницы в приложениях Android, отличных от Google Chrome.
Одно найти легче, чем другое. Спойлер: это не темная материя