Исследователи из команды Google Project Zero проанализировали статистику по киберугрозам за 2021 год и пришли к выводу, что число эксплуатируемых в реальных атаках 0-day уязвимостей стало рекордным. Согласно опубликованным данным, в общей сложности за прошлый год эксперты насчитали 58 0-day. Это почти в два раза больше прошлого рекорда, который был установлен в 2015 году, — 25 эксплойтов.
«Существенный скачок числа 0-day, зафиксированных в 2021 году, объясняется более высоким уровнем детектирования и раскрытия уязвимостей, а не просто возросшим количеством попыток эксплуатации», — отмечает Мэдди Стоун из Google Project Zero.
«Киберпреступники добиваются определённых успехов с помощью хорошо известных паттернов и техник. Они используют всё те же поверхности атаки».
Среди выявленных эксплойтов эксперты отмечают один особо сложный с технической точки зрения. Это баг FORCEDENTRY, который использовался для установки шпиона Pegasus на iPhone.
Что касается статистики по затронутым системам, большая часть 0-day пришлась на Chromium (14), за ним идут Windows (10), Android (7), WebKit/Safari (7), Microsoft Exchange Server (5), iOS / macOS (5) и Internet Explorer (4).
