Google spiega come si può evitare buona parte delle vulnerabilità zero-day

Notizie
Di Mayank Sharma, Giulia Di Venere
Pubblicato

Gli esperti in sicurezza di Google spiegano come sia importante investire in patch complete.

Hacker
(Immagine:: Shutterstock)

I ricercatori di sicurezza Google hanno definito il 2020 l'anno degli exploit zero-day a causa del gran numero di vulnerabilità individuate e corrette in quel periodo.

Google ha pubblicato un'analisi sul suo blog ufficiale, da cui emerge che il 25% delle vulnerabilità sfruttate lo scorso anno si sarebbe potuto prevenire con facilità, dal momento che queste erano legate a vulnerabilità già rese note in passato.

Maddie Stone, una ricercatrice di sicurezza del team Google Project Zero, scrive che "una vulnerabilità individuata su quattro avrebbe potuto essere potenzialmente evitata tramite l'adozione di una politica di indagine adeguata".

Fregati due volte

Secondo Stone, l'anno scorso Project Zero ha rilevato 24 vulnerabilità zero-day che stavano venendo attivamente sfruttate.

Nel suo post Stone analizza sei di queste, rivelando come fossero connesse con altre vulnerabilità precedentemente individuate: "alcune di queste vulnerabilità zero-day necessitavano di una o due nuove righe di codice per funzionare di nuovo".

Le sei vulnerabilità trovate dal team su Chrome, Firefox, Internet Explorer, Safari e Windows sono il risultato di correzioni non adeguate. La sua analisi rivela che tre di queste erano già state risolte nel 2020, ma "non nel modo corretto, o non completamente". 

Stone chiede che i produttori investano quanto più possibile per rilasciare patch corrette e complete, in modo che le vulnerabilità si possano coprire in tutte le varianti.

Stone si rivolge anche ai ricercatori di sicurezza, invitando tutti a svolgere un lavoro più completo e preciso quando si testa una patch.

"Ci piacerebbe lavorare più a stretto contatto con i produttori prima che la patch venga rilasciata. Il feedback preventivo e una collaborazione precoce durante la fase di progettazione delle patch porterebbe vantaggi per entrambe le parti. Ricercatori e produttori potrebbero risparmiare tempo, risorse ed energie lavorando insieme per assicurarsi che una vulnerabilità venga risolta nella sua interezza".

Via: ZDNet

Mayank Sharma
Mayank Sharma

With almost two decades of writing and reporting on Linux, Mayank Sharma would like everyone to think he’s TechRadar Pro’s expert on the topic. Of course, he’s just as interested in other computing topics, particularly cybersecurity, cloud, containers, and coding.