последняя версия Google годовой отчет эксплойтов нулевого дня утверждают, что известные уязвимости могут быть даже хуже, чем уязвимости нулевого дня.
В своем отчете Google спрашивает, нужны ли вообще нулевые дни на Android. Как правило, уязвимость вызывает наибольшие опасения до того, как станет общедоступной. В течение этого (надеюсь, короткого) периода злоумышленник может использовать эксплойты, не беспокоясь о патче.
В случае Android, как только Google узнает об уязвимости, это ошибка n-day, независимо от статуса исправления.
Патчи для Android слишком медленные
Google добавил, что в некоторых случаях исправления не были доступны пользователям в течение значительного периода времени в его экосистеме, в чем он винит разрыв между исправлениями вышестоящего (разработчика) и последующим внедрением (производителем).
Отчет за 2022 год под названием “Помни о разрыве” пришел к выводу, что поставщики устройств должны реагировать на исправления настолько быстро, насколько это рекомендуется конечным пользователям.
Всего в 2022 году была обнаружена 41 уязвимость нулевого дня, что на ошеломляющие 40% меньше, чем в предыдущем году, когда было обнаружено 69 уязвимостей. поверхности.
В то же время Google выделил неэффективные методы исправления, которые служат только для исправления используемого метода эксплойта, а не уязвимости в целом, которая, по ее словам, не является всеобъемлющей и не представляет собой полное исправление.
В дальнейшем Google делает упор на четкое общение и сотрудничество и призывает все стороны делиться как можно большим количеством технических деталей после подробного анализа.
Компания также призывает к «исправлениям и смягчению последствий [get to] пользователям быстро, чтобы они могли защитить себя».
