Уязвимости нулевого дня редко обнаруживаются более чем одной группой лиц

Американский стратегический исследовательский центр RAND опубликовал подробное исследование, посвященное уязвимостям нулевого дня. Отметим, к таковым относятся проблемы безопасности в продуктах, неизвестные производителям, но используемые хакерами для осуществления кибератак.

Часто подобные уязвимости известны лишь небольшой группе лиц, например, сотрудникам спецслужб, эксплуатирующим их в своих целях. Однако, по мнению многих ИБ-экспертов и активистов, неразглашение подробностей о таких уязвимостях ставит под угрозу безопасность большого числа пользователей. Если правоохранительные органы эксплуатируют «брешь» в том или ином продукте, что мешает киберпреступникам делать то же самое? Поэтому, считают эксперты, подробности об уязвимостях нулевого дня нужно предавать огласке, чтобы производитель мог их исправить.

Исследователи RAND собрали воедино данные о более 200 уязвимостях нулевого дня и попытались выяснить, как долго они остаются неизвестными. Отчет «Ноль дней, тысяча ночей» («Zero Days, Thousands of Nights») охватывает период с 2002 по 2016 годы. Половина описанных в документе уязвимостей по-прежнему неизвестны общественности. По словам исследователей RAND, их отчет базируется на данных, предоставленных анонимными источниками (некоторые из них работают на правительство). В отчете представлены данные об уязвимостях в продуктах Microsoft, Mozilla, Google и Adobe, а также в Linux.

Как сообщают эксперты, средний срок «жизни» уязвимости нулевого дня составляет 2 529 дней (6,9 года). Четверть уязвимостей едва «доживают» до полутора лет. Спустя год после начала эксплуатации только 5,7% уязвимостей обнаруживаются еще кем-то.

Источник