Secondo un nuovo rapporto di Google, correzioni rapide per le vulnerabilità zero-day stanno creando nuovi problemi per i team di sicurezza.
Secondo i ricercatori di cybersecurity di Google Project Zero, metà dei 18 zero giorni trovati nel software di base quest'anno avrebbero potuto essere evitati se gli sviluppatori avessero corretto meglio (si apre in una nuova scheda) il difetto originale.
Inoltre, quattro degli zero giorni scoperti quest'anno sono conseguenze di bug originariamente identificati nel 2021.
I browser sono un obiettivo importante
"Almeno la metà degli 0 giorni che abbiamo visto nei primi sei mesi del 2022 avrebbe potuto essere evitata con test di riparazione e regressione più completi", ha affermato Maddie Stone, uno dei ricercatori.
"Inoltre, quattro degli 0 days in the wild del 2022 sono varianti degli 0 days in the wild del 2021. Appena 12 mesi dopo l'aggiornamento originale di 0 days in the wild, gli aggressori sono tornati con una variante del bug originale. "
In totale, nel 2021 sono stati scoperti più zero giorni rispetto agli ultimi cinque anni. Ma mentre l'abbandono può essere un fattore che contribuisce, non è l'unica causa dell'aumento, ha affermato.
C'è anche il fatto che dalla scomparsa di Flash Player, i criminali informatici hanno rivolto la loro attenzione ai browser come loro prossimo obiettivo principale. C'è anche il fatto che i browser sono diventati così grandi che il loro volume di codice rivaleggia con quello di alcuni sistemi operativi.
Per finire, i ricercatori hanno probabilmente migliorato la loro capacità di rilevare i giorni zero estratti negli endpoint (si apre in una nuova scheda) in natura rispetto a cinque anni fa.
Solo quest'anno Google stesso ha corretto quattro vulnerabilità zero-day nel suo browser Chrome.
Via ZDNet (si apre in una nuova scheda)