TOP. 1
Los clandestinos de Asís
Los clandestinos de Asís
Amazon Prime Video (Video on Demand); Ben Cross, James Mason, Irene Papas (Actors); Alexander Ramati (Director)

Asi es como Google dice que todos podemos reducir las
Los investigadores de seguridad de Google han llamado 2020 el año de los exploits de día cero debido a la gran cantidad de estas vulnerabilidades que se descubrieron y solucionaron el año pasado.

En un artículo de revisión de un año, los investigadores compartieron que, si bien todavía están muy lejos de detectar exploits de día cero en la naturaleza, sorprendentemente una cuarta parte de ellos provienen de vulnerabilidades ya expuestas y podrían haberse evitado fácilmente.

“1 de cada 4 vulnerabilidades detectadas a los 0 días podría haberse evitado si se hubieran explorado más investigaciones y esfuerzos de reparación”, escribió Maddie Stone, investigadora de seguridad del equipo Project Zero de Google.

Engañame dos veces

Según Stone, el año pasado Project Zero descubrió 24 exploits de día cero que se utilizaron activamente en la naturaleza.

En su artículo, desglosa seis para revelar cómo se relacionan con vulnerabilidades previamente reveladas. “Algunos de esos exploits de día 0 solo tenían que cambiar una o dos líneas de código para tener un nuevo exploit de día 0”, escribió.

Mientras analiza las seis vulnerabilidades que el equipo descubrió en Chrome, Firefox, Internet Explorer, Safari y Windows, Stone señala que son el resultado de correcciones inapropiadas. Sorprendentemente, su análisis también encontró que tres de las vulnerabilidades parcheadas en 2020 fueron nuevamente «no parcheadas correctamente o no completamente parcheadas».

Stone pide a los proveedores que realicen todas las inversiones necesarias para liberar correcciones completas y correctas para las vulnerabilidades que abarcan todas sus variantes: “Muchas veces vemos a los proveedores bloqueando solo el camino que se muestra en la prueba de concepto o proeza de ejemplo. que arreglar la vulnerabilidad como un todo, lo que bloquearía todos los caminos. »

Stone también asigna cierta responsabilidad a los investigadores de seguridad que deberían hacer un mejor trabajo al rastrear y probar la solución.

“Realmente nos gustaría trabajar más de cerca con los proveedores en las correcciones y mitigaciones antes de que se lance el parche”, sugiere, y agrega que “la colaboración y los comentarios tempranos durante el proceso de diseño e implementación del parche son buenos para todos. Los investigadores y los proveedores pueden ahorrar tiempo, recursos y energía trabajando juntos, en lugar de parchear un binario después de su lanzamiento y darse cuenta de que la vulnerabilidad no ha sido completamente parcheada. »

Vía: ZDNet

Share This