Secondo un nuovo rapporto di Google, correzioni rapide per le vulnerabilità zero-day stanno creando nuovi problemi per i team di sicurezza.
Secondo i ricercatori di cybersecurity di Google Project Zero, metà dei 18 zero giorni trovati nel software di base quest'anno avrebbero potuto essere evitati se gli sviluppatori avessero corretto meglio (si apre in una nuova scheda) il difetto originale.
Inoltre, quattro degli zero giorni scoperti quest'anno sono conseguenze di bug originariamente identificati nel 2021.
I browser sono un obiettivo importante
"Almeno la metà degli 0 giorni che abbiamo visto nei primi sei mesi del 2022 avrebbe potuto essere evitata con test di riparazione e regressione più completi", ha affermato Maddie Stone, uno dei ricercatori.
"Inoltre, quattro dei 0 2022 giorni sono varianti dei 0 2021 giorni in natura. Solo 12 mesi dopo l'originale 0 giorni nell'aggiornamento selvaggio, gli aggressori sono tornati con una variante del bug originale".
In totale, nel 2021 sono stati scoperti più zero giorni rispetto agli ultimi cinque anni. Ma mentre l'abbandono può essere un fattore che contribuisce, non è l'unica causa dell'aumento, ha affermato.
C'è anche il fatto che dalla scomparsa di Flash Player, i criminali informatici hanno rivolto la loro attenzione ai browser come loro prossimo obiettivo principale. C'è anche il fatto che i browser sono diventati così grandi che il loro volume di codice rivaleggia con quello di alcuni sistemi operativi.
Per finire, i ricercatori hanno probabilmente migliorato la loro capacità di rilevare i giorni zero estratti negli endpoint (si apre in una nuova scheda) in natura rispetto a cinque anni fa.
Solo quest'anno Google stesso ha corretto quattro vulnerabilità zero-day nel suo browser Chrome.
Via ZDNet (si apre in una nuova scheda)
