В 2021 году Google зафиксировала рекордные 58 0Day-уязвимостей

В прошлом году специалисты в области кибербезопасности компании Google обнаружили 58 уязвимостей нулевого дня, которые использовались в реальных атаках. Это рекордное количество, зафиксированное командой Project Zero с начала ее работы в середине 2014 года. Предыдущий рекорд составил 28 уязвимостей нулевого дня, обнаруженных в 2015 году.

Из 58 проблем, эксплуатируемых в прошлом году, 56 аналогичны ранее известным уязвимостям. 39 проблем (67%) представляют собой уязвимости повреждения памяти, и большинство из них относятся к следующим известным классам:

• 17 уязвимостей использования после освобождения;

• 6 уязвимостей чтения и записи за пределами поля;

• 4 уязвимости переполнения буфера;

• 4 уязвимости целочисленного переполнения.

Две прошлогодних уязвимости нулевого дня привлекли особое внимание. Одной из них (CVE-2021-30860) была zero-click уязвимость в iMessage. Операторы шпионского ПО Pegasus использовали эту проблему с целью заразить телефоны жертв, извлечь данные и осуществить другой шпионаж.

Вторая уязвимость была связана с побегом из песочницы в iOS. Эксплоит использовал только логические ошибки, а не ошибки повреждения памяти, чтобы выйти из песочницы.

В web-браузере Chromium в 2021 году было обнаружено рекордное количество уязвимостей нулевого дня — 14. Из 14 проблем 10 были уязвимостями удаленного выполнения кода в средстве визуализации, 2 были связаны с побегом из песочницы, 1 — с утечкой информации и еще 1 использовалась для открытия web-страницы в приложениях Android, отличных от Google Chrome.