Google spiega come si può evitare buona parte delle vulnerabilità zero-day
Gli esperti in sicurezza di Google spiegano come sia importante investire in patch complete.
Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.Ecco come funziona
I ricercatori di sicurezzaGooglehanno definito il 2020 l’anno degliexploit zero-daya causa del gran numero di vulnerabilità individuate e corrette in quel periodo.
Google ha pubblicato un’analisi sul suo blog ufficiale, da cui emerge che il 25% delle vulnerabilità sfruttate lo scorso anno si sarebbe potuto prevenire con facilità, dal momento che queste erano legate a vulnerabilità già rese note in passato.
Maddie Stone, una ricercatrice di sicurezza del team GoogleProject Zero, scrive che “una vulnerabilità individuata su quattro avrebbe potuto essere potenzialmente evitata tramite l’adozione di una politica di indagine adeguata”.
Fregati due volte
Secondo Stone, l’anno scorso Project Zero ha rilevato 24 vulnerabilità zero-day che stavano venendo attivamente sfruttate.
Nel suo post Stone analizza sei di queste, rivelando come fossero connesse con altre vulnerabilità precedentemente individuate: “alcune di queste vulnerabilità zero-day necessitavano di una o due nuove righe di codice per funzionare di nuovo”.
Le sei vulnerabilità trovate dal team su Chrome, Firefox, Internet Explorer,Safarie Windows sono il risultato di correzioni non adeguate. La sua analisi rivela che tre di queste erano già state risolte nel 2020, ma “non nel modo corretto, o non completamente”.
Stone chiede che i produttori investano quanto più possibile per rilasciare patch corrette e complete, in modo che le vulnerabilità si possano coprire in tutte le varianti.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Stone si rivolge anche ai ricercatori di sicurezza, invitando tutti a svolgere un lavoro più completo e preciso quando si testa una patch.
“Ci piacerebbe lavorare più a stretto contatto con i produttori prima che la patch venga rilasciata. Il feedback preventivo e una collaborazione precoce durante la fase di progettazione delle patch porterebbe vantaggi per entrambe le parti. Ricercatori e produttori potrebbero risparmiare tempo, risorse ed energie lavorando insieme per assicurarsi che una vulnerabilità venga risolta nella sua interezza”.
Via:ZDNet
With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’sTechRadar Pro’sexpert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.
Nokia conferma la violazione dei dati, ma i suoi sistemi sono al sicuro
Google Cloud rende obbligatoria l’autenticazione a più fattori per tutti gli utenti
Google testa la ricerca vocale interattiva con risultati in tempo reale
