2020: שנת חולשות יום-אפס

עשרות חולשות יום-אפס, כאלו שהציבור לא ידע עליהן, נוצלו בחשאיות במהלך 2020. ארגונים שטרם התקינו טלאים נשארו חשופים בצריח

bigstock

"עם 22 ניצולים של חולשות יום-אפס, שנת 2020 עברה רשמית את שנת 2019 במספר חולשות מסוג זה המנוצלות במציאות", כותב maddiestone . הוא גם מצרף טבלה לטענה שלו עם פירוט כל חולשות יום-אפס שידוע כי נוצלו בשנת 2020. מתוך הרשימה, ניתן למצוא שלוש חולשות למערכת ההפעלה של האייפון (IOS), חמישה למערכת Windows, ששה לדפדפן כרום, שלושה לדפדפן פיירפוקס ושניים לאקספלורר. 

לאלו שטרם קראו מהי חולשת יום-אפס, ובכן, מדובר בחולשה למערכת ממוחשבת שאף אחד לא יודע עליה, פרט להאקר שמצא אותה. יום החשיפה הציבורית שלה מוגדר כיום אפס. כלומר, בתקופה מרגע המציאה שלה בפועל, עד החשיפה הציבורית שלה, ההאקר יכול היה לנצל אותה לטובת פריצה למערכת הממוחשבת בצורה חשאית. לפעמים מדובר בחודשים. 

עוד נתון חשוב הוא הזמן שלוקח ליצרן התוכנה לייצר טלאי שיחסום אותה. בזמן הזה, הציבור יודע על החולשה, אין לה פתרון של היצרן, והאקרים מסביב לעולם יכולים לנצל אותה. גם אחרי שהיצרן מפרסם טלאי לחולשה, לארגונים גדולים לוקח חודשים לעדכן את כלל מערכות הארגון, אם בכלל. עובדה החושפת ארגונים אלו לניצול החולשה.