Googles Team von Project Zero hat sich der Aufgabe verschrieben, Zero-Day-Lücken zu finden und zu bekämpfen, beziehungsweise deren Auffinden und Ausnutzung für Angreifer zu erschweren, wie der Sicherheitsspezialist Ben Hawkes im Blog von Project Zero
verkündet. Deshalb habe man nun eine
Liste mit bekannten Zero-Day-Lücken angelegt und veröffentlicht, die den Herstellern bekannt sind und aktiv ausgenutzt werden. Die Liste hat das Team von Project Zero mit Informationen aus öffentlich zugänglichen Quellen zusammengestellt.
Erste Erkenntnisse aus den gesammelten Daten sind beispielsweise, dass Hersteller durchschnittlich rund 15 Tage benötigen, um einen Patch für eine Zero-Day-Lücke zu entwickeln. Darüber hinaus werde eine solche durchschnittlich alle 17 Tage in freier Wildbahn entdeckt, so Hawkes weiter. Spannend ist auch, dass es sich bei 68 Prozent der Lücken um Fehler in der Speicherverwaltung handelt. Die Idee hinter der Liste ist letztlich, durch die Sammlung der Lücken mehr über das Vorgehen der Angreifer zu erfahren. Davon soll auch die Gemeinschaft profitieren, wie die Experten von Google finden.