Команда Google Project Zero запустила проект под названием 0-Day «In the Wild», который позволит отслеживать уязвимости т.н. нулевого дня, для которых не существует патча.
Задача команды Project Zero состоит в том, чтобы «сделать 0-day более сложными», то есть сделать более затратным обнаружение и использование уязвимостей безопасности злоумышленниками. В первую очередь это достигается за счет проведения собственных исследований безопасности. Также специалисты Google Project Zero изучают внешние случаи эксплуатации уязвимостей нулевого дня, которые были обнаружены «in the wild». Эти случаи дают представление о поведении и возможностях злоумышленника в реальном мире.
В списке насчитывается более сотни уязвимостей, эксплуатируемых с 2014 года. Таблица содержит ряд разделов, в которых указаны идентификатор CVE уязвимости, производитель затронутого программного или аппаратного обеспечения, уязвимый продукт, тип уязвимости, ее краткое описание, атрибуция уязвимости, дата обнаружения, дата выхода патча, ссылки на официальное предупреждение и отчет об уязвимости, а также данные, кем эксплуатируется баг.
Список содержит информацию об уязвимостях ведущих мировых вендоров, таких как Microsoft, Google, Apple, Cisco, Facebook, Adobe и многих других. Также указана атрибуция то или иной уязвимости и принадлежность к APT-атакам. В данном списке, к примеру, недавняя уязвимость Whatsapp от NSO group.
> Страница проекта
> Список уязвимостей
staticmain
Не увидел ни одной уязвимости в списке связанной с Linux Kernel или чего-то связанного. Они их просто не анализируют или их нет?
firedragon
Они не интересны. Нет соотношения количество/затраченные усилия = результат.
JerzyEx
В 2016 году есть одна. Но меня больше удивило отсутствие Android. Это из-за того, что список составляет гугл или из-за того, что главная уязвимость тыкает пальцем в «разрешить»?
trak
А может потому, что этих Android уже масса у каждого производителя телефонов, плюс всякие сторонние сборки? Может у них на Nexus ничего и нет, например (я просто предположил).