A vállalat Project Zero csapata szerint hiába fedeznek fel egyre több nulladik napi sérülékenységet, ha azok kihasználása nem igényel extra befektetést a hekkerek részéről.

A Google nulladik napi sérülékenységek feltárásával és javításával foglalkozó csapata, a Project Zero (GPZ) tavaly összesen 58 ilyen fenyegetettséget követett nyomon a legnépszerűbb szoftverekben – derül ki a szervezet hivatalos blogján közzétett jelentésből. A teljes mennyiség ezúttal is új rekordnak számít, több mint kétszerese volt az ilyen exploitok átlagos éves számának, amióta a GPZ 2014 közepén elkezdte nyomon követni a nulla napi sérülékenységeket. Közülük azonban csak kettő számított különösen frissnek, miközben a többi újra és újra ugyanazokra a technikákra támaszkodott.

A Google biztonsági kutatói szerint az észlelés ebben a tekintetben egyre hatékonyabb, de az, hogy egy hibát nem észleltek, még nem jelenti, hogy azt nem is használták fel. Ebben a tekintetben pedig jelentős információhiánnyal küzdenek, a fenti sebezhetőség alkalmazásáról is csak esetenként néhány minta állt a rendelkezésükre. Bár a "vadon" felfedezett nulladik napi sérülékenységek alapvetően kudarcot jelentenek a támadóknak, főleg a hibák javításukra koncentrálnak, és elsikkad a kihasználásukra irányuló módszerek semlegesítése.

Minél többet tudnak, annál kevesebbet tudnak

Ez pedig azt jelenti, hogy a támadók továbbra is élhetnek a szóban forgó módszerekkel, ahelyett, hogyújabbakat kellene kidolgozniuk. A GPZ szerint így lehetséges, hogy rendre ugyanazokat a mintákat, technikákat és támadási felületeket alkalmazzák, vagyis a védekezés nem igazán növeli a támadók költségeit. Az előrelépéshez azt is szükségesnek tartanák, hogy a gyártók a hibaüzenetekben felfedjék, ha egy hibát valós környezetekben is kihasználnak, szélesebb körben megosztva az erre jellemző mintákat és az exploitok részletes műszaki leírását.

A GPZ ezen felül több munkát szorgalmaz a memóriasérülések (memory corruption) csökkentésére, amelyek egyébként a Microsoft és a Google szerint is a leggyakoribb hibatípusok, és a nulladik napi hibáknak is nagyjából a kétharmad részét adják. Tavaly ebben már némi előrelépést tapasztaltak a hatékonyabb észlelés és közzététel révén, de az iparág egészét tekintve az lenne a cél, hogy a támadóknak szinte a nulláról kelljen kezdeniük minden alkalommal, kényszerűen időt fordítva az új támadási felületek elemzésére és vadonatúj módszerek kidolgozására.

Biztonság

Az állami posta vezérletével épülne az olasz MI-infrastruktúra

Olaszország itthonról nézve valószerűtlen nemzeti bajnokot választott adatközponti kapacitásainak és MI-képességeinek fejlesztésére, ezen keresztül pedig digitális szuverenitásának erősítésére.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.