Google Project Zéro

Google Project Zero a qualifié 2021 d’«année record pour les 0 jours dans la nature », comme 58 vulnérabilités de sécurité ont été détectés et divulgués au cours de l’année.

Le développement marque plus de deux fois le record par rapport au maximum précédent lorsque 28 exploits de 0 jour ont été suivis en 2015. En revanche, seuls 25 exploits à 0 jour ont été détectés en 2020.

« La forte augmentation des 0 jours dans la nature en 2021 est due à une détection et à une divulgation accrues de ces 0 jours, plutôt qu’à une simple utilisation accrue des exploits 0 jour », a déclaré Google Project Zero, chercheur en sécurité Maddie Stone dit.

« Les attaquants réussissent en utilisant les mêmes modèles de bogues et les mêmes techniques d’exploitation et en s’attaquant aux mêmes surfaces d’attaque », a ajouté Stone.

L’équipe de sécurité interne du géant de la technologie a caractérisé les exploits comme similaires aux vulnérabilités précédentes et connues du public, avec seulement deux d’entre elles nettement différentes pour la sophistication technique et l’utilisation de bogues logiques pour échapper au bac à sable.

Publicité
0Days

Les deux se rapportent à ENTRÉE FORCÉEun Exploit iMessage sans clic attribué à la société israélienne de surveillanceware NSO Group. « L’exploit était une œuvre d’art impressionnante », a déclaré Stone.

L’échappement du bac à sable est « remarquable pour n’utiliser que des bogues logiques », ont déclaré ian Beer et Samuel Groß, chercheurs de Google Project Zero. expliqué passé. « Le plus frappant à retenir est la profondeur de la surface d’attaque accessible à partir de ce qui serait, espérons-le, un bac à sable assez contraint. »

Macos

Une ventilation de ces exploits par plate-forme montre que la plupart des 0 jours dans la nature provenaient de Chromium (14), suivi de Windows (10), Android (7), WebKit / Safari (7), Microsoft Exchange Server (5), iOS / macOS (5) et Internet Explorer (4).

Cybersécurité

Sur les 58 0 jours dans la nature observés en 2021, 39 étaient des vulnérabilités de corruption de mémoire, les bogues résultant de failles d’utilisation après libération (17), de lecture et d’écriture hors limites (6), de débordement de la mémoire tampon (4) et de débordement d’entiers (4).

Il convient également de noter que 13 des 14 jours de Chromium 0 étaient des vulnérabilités de corruption de mémoire, dont la plupart, à leur tour, étaient des vulnérabilités d’utilisation après libération.

De plus, Google Project Zero a souligné le manque d’exemples publics mettant en évidence l’exploitation sauvage des failles 0-day dans les services de messagerie comme WhatsApp, Signal et Telegram, ainsi que d’autres composants, y compris les cœurs de processeur, les puces Wi-Fi et le cloud.

« Cela conduit à la question de savoir si ces 0 jours sont absents en raison d’un manque de détection, d’un manque de divulgation ou des deux? », a déclaré Stone, ajoutant: « En tant qu’industrie, nous ne rendons pas 0 jour difficile. »

« 0 jour sera plus difficile quand, dans l’ensemble, les attaquants ne sont pas en mesure d’utiliser des méthodes et des techniques publiques pour développer leurs exploits 0-day », les obligeant « à repartir de zéro chaque fois que nous détectons l’un de leurs exploits ».


Rate this post
Publicité
Article précédentLes fuites de ‘Valorant Mobile’ excitent les joueurs mais les copies ‘pirates’ sont de mauvaises nouvelles * TechTribune France
Article suivantTest de la Xiaomi Watch S1 et de la Watch S1 Active
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici