Project Zero: Вендоры стали быстрее патчить 0-day (в среднем за 52 дня)

Екатерина Быстрова 14 Февраля 2022 - 10:42

Уязвимость нулевого дня

Патчи

...

Немного позитивной статистики: команда Google Project Zero опубликовала отчёт, согласно которому вендоры стали быстрее устранять уязвимости нулевого дня. По крайней мере, речь идёт о тех багах, которые выявили в прошлом году исследователи Google Project Zero.

Полученная статистика показывает, что средний временной промежуток, который требуется разработчикам на устранение 0-day — 52 дня. Кто-то может сказать, что это достаточно продолжительный период, но ещё три года назад это были 80 дней.

Более того, практически все разработчики устранили уязвимости нулевого дня до установленного Project Zero дедлайна — 90 дней. Это действительно важный вопрос, учитывая, что киберпреступники всегда ищут окно для эксплуатации, пока вендор готовит патч.

Исследователи, изучив 376 брешей класса 0-day, собрали интересные данные по компаниям: 26% проблем в безопасности пришлось на Microsoft, 23% — на Apple и 16% — на Google. Эти три корпорации заняли 65% от общего числа исследованных уязвимостей.

Быстрее всего патчи выпускали разработчики Linux, Mozilla и Google, а вот с худшей стороны в этом вопросе проявили себя Oracle, Microsoft и Samsung. Microsoft, кстати, часто пользовалась дополнительным двухнедельным окном, затягивая публикацию информации об уязвимостях.

Девелоперы iOS и Android показали приблизительно одинаковые результаты — обе компании патчили 0-day в 70-дневный период. Тем не менее первенство по таймингу в устранении дыр досталось браузеру Chrome.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 21 Апреля 2026 - 12:29

Уязвимости программ Домашние пользователи

Количество уязвимостей в банковских приложениях за год выросло в 10 раз

По данным исследования AppSec Solutions, посвящённого анализу 90 приложений компаний финансового сектора — банков, микрофинансовых организаций и страховых компаний, — количество критических уязвимостей в них за год выросло в 10 раз. Об этом сообщили специалисты AppSec Solutions.

Всего в ходе анализа было выявлено 3 555 уязвимостей, из которых 2 006 отнесены к высоким или критическим. Для сравнения: в 2023 году исследователи обнаружили около 4 500 уязвимостей, однако критический статус тогда получили лишь 183 из них.

Как отметил руководитель отдела анализа защищённости мобильных приложений AppSec Solutions Никита Пинаев, одной из самых распространённых проблем остаётся наличие критически важной информации прямо в коде. Это создаёт условия для перехвата конфиденциальных данных, включая банковские реквизиты и личную информацию пользователей.

При этом мобильные приложения финансовых компаний, как подчёркивают исследователи, остаются абсолютными лидерами по числу опасных уязвимостей.

По данным исследования Роскачества и ГК «Солар», ошибки и уязвимости обнаруживаются в каждом втором мобильном приложении. В основном такие проблемы создают риск перехвата пользовательских данных и реализации сценария «человек посередине». Наиболее проблемными тогда оказались приложения онлайн-аптек и сервисов доставки.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!