Programvaruföretag som Microsoft, Adobe och Apple arbetar ständigt för att åtgärda brister i sina program, men ibland är de inte de första som upptäcker sårbarheter.

Ibland hittar cyberbrottslingar dessa brister först, och när de gör det kan de utnyttja programvarans sårbarheter för sin egen ekonomiska vinst på bekostnad av vanliga datoranvändare.

En attack mot en programvarufel som inträffar innan mjukvaruutvecklarna har fått tid att utveckla en korrigering för felet är ofta känd som en noll-dagars exploatering. Termen "zero-day" anger att utvecklare har haft noll dagar för att åtgärda sårbarheten.

Det kan också referera till attacker som inträffar samma dag (dag noll) som en sårbarhet avslöjas. I själva verket är några nolldagars exploateringar den första indikationen på att den associerade sårbarheten alls finns.

Nolldagens exploateringar är särskilt hotfulla eftersom de kan infektera ditt datornätverk även om du har varit helt flitig med att uppdatera din programvara.

Hur nolldagens exploater ser ut

Nolldagens exploateringar finns i alla former och storlekar, men tjänar vanligtvis ett enastående syfte: för att leverera skadlig kod till intet ont anande offer. De farligaste varianterna av noll-dagars utnyttjande underlättar nedladdning av körning, där du bara surfar till en exploaterad webbsida eller att klicka på en förgiftad webblänk kan resultera i en fullfjädrad skadlig attack på din systemet. Sådana attacker utnyttjar sårbarheter i en webbläsares programvara eller i webbläsarinsticksprogram från tredje part.

Men nolldagars angripare har också varit kända för att utnyttja sårbarheter inom Microsoft Word, PowerPoint och Excel, inom olika Adobe-produkter som Reader och Flash Player och inom andra program. Fel i sådan programvara kan leda till riktade attacker mot företag och statliga myndigheter.

Genom att skicka falska e-postmeddelanden som innehåller infekterade Word-dokument kan cyberbrottslingar till exempel lura anställda att ladda ner skadliga paket. Dessa falska e-postmeddelanden verkar ofta komma från kända kontakter, vilket gör dem särskilt svåra att filtrera bort.

Kriminella är inte de enda hackare som använder nolldagars exploatering. Stuxnet, datormask som saboterade det iranska kärnkraftsprogrammet 2010, innehöll fyra nolldagars exploateringar som aldrig tidigare sett. Amerikanska och israeliska myndigheter misstänks ha skapat Stuxnet.

Nolldagens bransch

Förekomster av nolldagars sårbarheter har ökat dramatiskt under det senaste decenniet, vilket speglar den snabba ökningen av global internetanvändning - särskilt på mobila enheter - och den hastighet med vilken programvaruföretag slår ut nya program.

Men relativt få av dessa rapporterade sårbarheter har lett till attacker från cyberbrottslingar. En Microsoft-undersökning visade att endast 1 procent av säkerhetsincidenter under första halvåret 2011 var resultatet av nolldagars exploatering.

Varför blir inte fler nolldagars säkerhetsfel till cyberattacker? Anledningen kan vara att brottslingar inte är de enda som letar efter dessa brister. Inte bara söker programvaruföretag proaktivt efter säkerhetshål i sina produkter, utan också ofta ta emot rapporter om säkerhetsfel från sina användare och från säkerhetsforskare (även känd som "vit hatt") hackare).

Sådana metoder driver upp det som vissa tekniska experter kallar nolldagarsindustrin - en växande verksamhet inom säkerhetssektorn.

I teorin följer säkerhetsforskare en uppsättning metoder som kallas "etisk avslöjande." Med andra ord, istället för att sälja information om säkerhetsfel till högstbydande, erbjuder de den - gratis - till programvara företag.

Men inte alla forskare känner sig tvungna att följa detta hederssystem. Vissa väljer att offentliggöras med information om säkerhetsfel för att tvinga motstridiga programvaruföretag att utfärda en fix. Andra säljer sin forskning till tredjepartsföretag - en metod som kallas "bounty jakt".

Bounty jaktföretag, eller utnyttja mäklare, fungerar som mellanhänder, vilket underlättar monetära transaktioner mellan hackare och programvaruföretag eller webbplatser som de hackar. Mäklaren betalar hackaren för information om programvarufel, som den i sin tur säljer till det företag som berörs av bristen.

Under de senaste åren har många företag - inklusive Facebook, Microsoft, Yahoo!, Google och PayPal - har också lanserat egna bounty-program, som skär ut mellanhänder helt och hållet genom att kompensera vänliga hackare för att vända information om potentiellt skadlig säkerhet brister.

Senast har Facebook och Microsoft samarbetat för att sponsra HackerOne -programmet, som erbjuder hackare upp till $ 5000 för användbar information om nolldagars sårbarheter. Google betalar nu också för sårbarheter i programvara med öppen källkod som inte tillhör något företag, men som hjälper till att köra Internet.

Många av dessa företag sponsrar också säkerhetsinformation och hackingskonferenser - som Black Hat, DEFCON och Pwn2Own - där forskare träffas för att diskutera aktuella säkerhetsstrategier och hitta säkerhetsfel hos populära programvara.

Medan många programvaruföretag och populära webbplatser är villiga att betala för exklusiva rättigheter till information om deras egna nolldagars säkerhetshål finns det också en blomstrande svart marknad med information om dessa kritiska brister.

Exploitmäklare säljer ofta programvarusårbarheter till skumma kunder - välkända cyberbrottsorganisationer och, lika ofta, djupa fickor från myndigheterna.

Medan inget amerikanskt regeringsorgan har gått med på att säga att det köper information om noll dagar spekuleras att försvarsdollar redan spenderas på att erhålla värdefull nolldag utnyttjar.

Skydda dig mot nolldagarsattacker

På grund av själva karaktären av nolldagars exploateringar kan inget nätverk vara 100 procent säkert från sådana sårbarheter. Det finns dock åtgärder du kan vidta för att förhindra de skadliga effekterna av en sådan attack.

För enskilda personer är det viktigt med en förnuftig strategi för datasäkerhet. Klicka aldrig på misstänkta länkar som ingår i e-postmeddelanden, snabbmeddelanden, Facebook- eller Twitter-inlägg eller medan du surfar på webben. Var alltid försiktig när du laddar ner e-postbilagor eller onlineinnehåll, även om det verkar komma från en betrodd källa. Öppna aldrig en e-postbilaga från en okänd källa.

Företag och andra organisationer kan också följa vissa säkerhetsförfaranden för att säkerställa säkerheten i sina nätverk mot nolldagarsattacker. Använda sig av virtuella LAN för att skydda enskilda sändningar och implementera ett system för upptäckt av intrång - som en statlig brandvägg - för att avskräcka nolldagars angripare.

Om ditt nätverk inte använder åtkomstkontroll bör du överväga att införa den här säkerhetsfunktionen för att bättre kontrollera vilka maskiner som har åtkomst till ditt nätverk. Slutligen kan låsning av trådlösa åtkomstpunkter och användning av ett modernt säkerhetsschema, som Wi-Fi Protected Access eller WPA2, också hjälpa till att förhindra trådlösa attacker.

Följ Elizabeth Palermo på Twitter @techEpalermo, Facebook & Google+. Följ Toms guide @tomsguide Vi är också på Facebook & Google+.