Google: Her Zamankinden Daha Fazla Sıfır Gün Açığı Tespit Ediyoruz

Google tarafından sıfır gün güvenlik açıklarını bulmakla görevli bir güvenlik analistleri ekibi olan Google Project Zero, yazılım endüstrisinin geçen yıl hiç olmadığı kadar fazla sayıda sıfır gün açığı tespit edildiğini, ancak siber saldırganların bu alana pek fazla ilgi göstermediğinin ortaya çıktığını açıkladı.

Kısa adı GPZ olan Google Project Zero’nun 2021’de izlediği popüler yazılımlardaki 58 farklı sıfırıncı gün istismarından özellikle ikisi yeniydi. Bu, yazılım endüstrisi için hem iyi hem de kötü bir haber.

2021; Chrome, Windows, Safari, Android, iOS, Firefox, Office ve Exchange gibi yazılımlarda GPZ’nin bir güvenlik yaması kullanıma sunulmadan önce istismar edildiğini tespit ettiği sıfır gün açıklarının sayısı açısından rekor bir yıl oldu.

Keşfedilen sıfır gün açıkları, saldırganlar için ‘değerlendirmedikleri baz alındığında’ bir “başarısızlık” şeklinde yorumlansa da siber saldırganların aynı hata kalıplarını ve istismar tekniklerini başarıyla kullandıkları, aynı saldırı yüzeylerinin peşinden gittikleri belirtiliyor. Bu tekrarlama, saldırganların henüz yeni yöntemlere yatırım yapmaya zorlanmadığı anlamına gelirken siber güvenlik endüstrisinde saldırganların maliyetini ne kadar artırdığına dair soruları gündeme getiriyor.

GPZ, 2022’de ilerleme kaydetmek için istismar örneklerinin veya istismarların ayrıntılı teknik açıklamalarının daha geniş çapta paylaşılmasını istiyor.

Ayrıca hem Microsoft’a hem de Google’a göre açık ara en yaygın kusur türü olan bellek bozulması, güvenlik açıklarını azaltmak için daha fazla çalışılması gereken konu durumunda. Uzmanlar yıl içindeki 58 güvenlik açığının %67’sinin (39’unun) bellek bozulması kaynaklı olduğuna işaret ediyor.

GPZ’nin vardığı sonuç, sektörün 2021’de daha iyi tespit ve açıklama yoluyla bir miktar ilerleme kaydettiği yönünde.