Google hat ein eigenes Team, welches 0Day Sicherheitslücken aufspürt: Project Zero. Das Team an sich kann nichts an der Behebung dieser Sicherheitslücken machen, doch durch eine zentralisierte Auflistung kann das Team den Druck auf die Entwickler erhöhen wenn diese zwar von der Lücke wissen, aber keine Ressourcen “verschwenden” wollen.
Das Team teilt die eigens erstellte Tracking-Tabelle für öffentlich bekannte Fälle von entdeckten Zero-Day-Exploits, in der Hoffnung, dass dies eine nützliche Community-Ressource sein kann:
Die Daten stammen aus öffentlichen Quellen. Die Links werden eingepflegt und durch eigene ergänzt. Die Ergänzungen sind jedoch wertefrei und nicht validiert, zudem erhebt die Liste nicht den Anspruch auf Vollständigkeit.
Zum Beispiel zeigen die Daten:
- Durchschnittlich alle 17 Tage wird ein neuer Exploit in der “freien Wildbahn” entdeckt.
- Es dauert durchschnittlich 15 Tage, bis eine Schwachstelle, die bei aktiven Angriffen verwendet wird, behoben ist.
- Eine detaillierte technische Analyse der Ursachen der Schwachstelle wird für 86% der aufgeführten CVEs veröffentlicht.
- Probleme mit dem Speicher bzw dessen Management sind die Hauptursache für 68% der aufgeführten CVEs.