Zero-Day-Bugs bleiben nach ihrer Entdeckung durchschnittlich 348 Tage offen, bevor der Hersteller ein Patch bereit stellt oder die Öffentlichkeit von der Lücke erfährt. Das berichtet Justine Aithel, CEO des Security-Unternehmens Immunity.
Um die Zeitspanne zwischen Entdeckung und Schließen der Lücke möglichst klein zu halten, setzen Hersteller Prämien für neu gemeldete Sicherheitslücken aus. Allerdings sind die finanziellen Angebote aus der Cybercrime-Szene mitunter noch attraktiver. Selbst wenn Hersteller und Cyberkriminelle zeitgleich von der Lücke erfahren, sind die Kriminellen im Vorteil. Bevor alle Nutzer ein entsprechendes Sicherheitsupdate eingespielt haben, können sie längst Opfer einer Zero-Day-Attacke geworden sein. Malware zu programmieren, die eine weit verbreitete Lücke ausnutzt, ist zudem meist in kürzerer Zeit möglich, als diese Lücke so zu schließen, dass das betroffene Programm in seiner Funktion nicht beeinträchtigt wird.
