Verdoppelung entdeckter Exploits
Im Vorjahr hat es eine regelrechte Explosion an 0-Day-Exploits gegeben, laut Google Project Zero konnte man 2021 insgesamt 58 solcher schwerer Lücken zählen. Das ist im Vergleich zu 2020 mehr als doppelt so viel, damals waren es "nur" 25 Zero-Days. Allerdings bedeutet das nicht zwangsläufig, dass die Angreifer aktiver und erfolgreicher geworden sind.0-Days in 'freier Wildbahn' seit 2015
So bestehe trotz dieser hohen Zahl nicht unbedingt auch Grund zur Sorge oder gar Panik, meint Google. Denn die gute Nachricht ist, so Project Zero, dass die Methodik der Angreifer sich im Vergleich zu den Vorjahren nicht wesentlich geändert habe: "Angreifer haben Erfolg, wenn sie dieselben Fehlermuster und Ausnutzungstechniken verwenden und auf dieselben Angriffsflächen abzielen."
Das bedeutet aber auch, dass die Sicherheitsindustrie schneller 0-Day-Szenarien aufspüren und auch besser darauf reagieren kann. Gleichzeitig warnt Google aber auch, dass man sich auf diesen Erfolgen ausruhen kann und soll.
Lob für Microsoft, Apple und Co.
Lob gab es von Google auch für die eigenen Teams sowie Partner und Mitbewerber: Microsoft, Apple, Apache und die eigenen Chromium- und Android-Teams hätten gute Arbeit geleistet, 2021 Sicherheitslücken in den jeweiligen Produkten öffentlich gemacht zu haben. Doch nicht alle wurden gelobt: So wurden auch bei Qualcomm und ARM Lücken entdeckt und veröffentlicht, die Hersteller selbst haben dazu aber nichts in den eigenen Sicherheitsberichten mitgeteilt.Die meisten 0-Days wurden im hauseigenen Chromium aufgespürt, genauer gesagt waren es 14. Apples WebKit kam auf sieben Lücken, der eigentlich längst tote Internet Explorer erreichte noch vier. Windows kam auf zehn Zero-Days, Android zählte sieben Exploits, Microsoft Exchange Server fünf, iOS vier und eine Lücke gab es auf MacOS.