За 11 месяцев 2024 года команда исследователей Positive Technologies обнаружила 100 уязвимостей нулевого дня (уязвимость, о которой не знают сами авторы ПО) в продуктах мировых и отечественных разработчиков, рассказала «Ведомостям» руководитель группы координированного раскрытия уязвимостей Диана Абдурахманова. 75 найденных уязвимостей имели критический характер, т. е. через них злоумышленники могут получить полный доступ к IТ‑системам компаний, уточнила она.
В частности, исследователи Positive Technologies обнаружили уязвимость в Windows, которая позволяла хакеру получить контроль над системой и использовать данные для дальнейшего развития атаки. Выявили «дырку» в антивирусе ESET Internet Security, которая позволяла удалять любые файлы или получить права доступа к отдельным процессам. А уязвимость в популярной системе для видеоконференций Yealink давала любому злоумышленнику возможность без авторизации получить учётные данные всех пользователей системы.
В российском ПО в 2024 году специалисты обнаружили на 39% больше уязвимостей нулевого дня, чем в 2023-м, говорят исследователи Positive Technologies, не раскрывая абсолютную цифру. При этом 42% выявленных брешей имеют критический и высокий уровень опасности. Во-первых, это связано с возросшим вниманием компаний к собственной кибербезопасности, во-вторых, с увеличением числа исследователей, которые выявляют и сообщают о проблемах, поясняет Абдурахманова.
Всех производителей уведомили о найденных уязвимостях, уточнила она: большая часть найденных уязвимостей уже имеет патч (обновление, которое исправляет уязвимость), оставшиеся — в процессе устранения.
Всего за 2022–2024 гг. исследователи Positive Technologies обнаружили 452 уязвимости нулевого дня, для подавляющего большинства из которых вендоры выпустили пакеты обновлений, уточнил представитель компании.
