Volgens het detectieprogramma Google Project Zero zijn in 2021 meer zero-day kwetsbaarheden in internetbrowsers ontdekt. De Chrome-browser ondervond veel last.

In het onderzoek van Project Zero naar zero-day kwetsbaarheden werden er in totaal veertien voor Google Chrome ontdekt. Safari’s WebKit engine kwam op de tweede plaats met negen kwetsbaarheden en vier voor Internet Explorer. Dit zijn meer kwetsbaarheden dan in 2020, toen slechts veertien zero-day exploits in totaal werden aangetroffen. Meer dan de helft van die exploits was ook op Chrome gericht.

De onderzoekers geven vier belangrijke redenen voor de toename van het aantal exploits. Het aantal gevonden exploits neemt bijvoorbeeld toe omdat aanbieders van browsers steeds meer ‘in het wild’ aangetroffen kwetsbaarheden openbaar maken en delen. De komst van Project Zero draagt hieraan bij. Het geeft leveranciers 90 dagen de kans kwetsbaarheden op te lossen, voordat ze worden gepubliceerd.

Vier redenen

Ook gaan hackers steeds vaker op zoek naar kwetsbaarheden in de code browsers zelf, nu een belangrijke aanvalsvector voor internetbrowsers, de Adobe Flash Player desktop plugin verleden tijd is. De meeste browsers ondersteunen flash niet meer sinds eind 2020.

Daarnaast is Chromium populairder geworden voor integratie in browsers. De open source broncode op basis van Chrome voor het integreren van flash-players, pdf-lezers en geautomatiseerde updates wordt in steeds meer browsers toegepast. Denk aan Opera, Vivaldi en Brave, maar ook Microsoft Edge dat standaard met Windows 10 en Windows 11 wordt meegeleverd.

Hackers zoeken altijd de weg van de minste weerstand en kijken uit naar mogelijkheden waarmee ze maximaal resultaat kunnen boeken. Door zich op Chromium te richten vallen ze niet alleen Chrome aan, maar ook vele andere soorten webbrowsers.

Combinatie van zero days en complexiteit browsers

Daarnaast neemt het aantal zero-day exploits voor browsers toe omdat eindgebruikers ze steeds vaker combineren voor aanvallen. De combinaties nemen toe naar mate browsers steeds verder worden beveiligd door de makers. De huidige internetbrowsers zijn tevens net zo complex in code als besturingssystemen.

Tip: ‘Softwareleveranciers fixen securitybugs gemiddeld in 52 dagen’