It-säkerhetsexperter talar ibland om ”zero-day” eller ”0-day” när de beskriver en säkerhetsbrist eller attack. Zero-day är en sårbarhet i ett system som ännu inte har åtgärdats – det finns alltså ingen säkerhetsuppdatering eller patch tillgänglig. Detta betyder att leverantören måste ta fram en säkerhetsuppdatering samt att systemet sedan måste uppdateras för att hålet ska täppas igen.
Knowits säkerhetskonsult Patrick Mattsson upptäckte ett säkerhetshål i ett system som tillverkats av Aptus Elektronik AB och kontaktade företaget.
Teckna din prenumeration av Aktuell Säkerhet här
– Vi uppskattade informationen som vi fick ifrån Patrick. Han beskrev i detalj vad han hade upptäckt och vi verifierade det senare i vår testmiljö, berättar Peter Johannesson, produktchef hos Aptus Elektronik AB.
Redan en vecka efter att Patrick hade informerat Aptus om problemet utfärdades en säkerhetsuppdatering för tidigare versioner av låssystemet och en ny version var klar. Patrick testade systemet och verifierade att säkerhetshålet var borta. Aptus informerade kunder att uppdatera sina system. Uppdateringen pågår och alla nya system är åtgärdade från leverans.
– För att underlätta för säkerhetsuppdateringar av system när nya sårbarheter upptäcks är det viktigt att arbeta fram en lösning för detta redan i designfasen. När jag kontaktade Aptus fick jag full attention direkt, säger Patrick Mattsson.