¿Existe una estimación de la cantidad de días cero que hay?

Question

¿Existe una estimación de la cantidad de días cero que hay?

#1 de Trey Blalock (3 votos)

4

Una vulnerabilidad de día cero se refiere a un agujero en el software que se desconoce al vendedor.

Dado que, las vulnerabilidades de día cero son desconocidas, ¿se puede hacer una estimación de las cantidades? ¿Cuáles son los escenarios posibles para estimar la cantidad de cero días? Por ejemplo, según la experiencia con la compra / venta de vulnerabilidades de día cero.

Me pregunto cuántos errores no descubiertos hay aproximadamente en el mundo y cuántas vulnerabilidades conocidas de día cero con exploits hay aproximadamente.

vulnerability exploit zero-day vulnerability-markets

pregunta Bob Ortiz 19.03.2017 - 23:01

fuente

1 respuesta

Lea otras preguntas en las etiquetas vulnerability exploit zero-day vulnerability-markets

¿Puede el paso de Ethernet a una máquina virtual KVM aislar las vulnerabilidades del kernel relacionadas con la red? ¿La comprobación de una huella digital precompartida de un certificado es lo suficientemente buena para TLS?

score 3 · Accepted Answer

Las vulnerabilidades, en general, existen antes de que los investigadores las encuentren, por lo que el número ya existente pero aún no conocido podría ser muy alto. En cuanto a las Vulnerabilidades conocidas que constituirían Zero-Días donde existe un exploit pero que aún son privadas para algunas personas u organizaciones, realmente no hay forma de saberlo porque muchas de estas organizaciones son muy reservadas por razones obvias. Es demasiado difícil especular cuánto esfuerzo se ha puesto para encontrar Zero-Days en el mundo y mucho menos cuán productivas han sido esas personas u organizaciones al hacerlo.

Dicho esto, el siguiente documento de Rand Corporation tiene mucha información muy relevante para su pregunta.

Cero días, miles de noches "La vida y los tiempos del cero Vulnerabilidades del día y sus explotaciones enlace

Algo que también se debe tener en cuenta es que ha habido muchos avances en la tecnología de fuzzing en los últimos años, lo que puede facilitar la búsqueda de nuevos días cero para los atacantes.