Selon un nouveau rapport de Google, des correctifs rapides pour les vulnérabilités du jour zéro créent de nouveaux problèmes pour les équipes de sécurité.
Selon les chercheurs en cybersécurité de Google Project Zero, la moitié des 18 jours zéro trouvés dans les principaux logiciels cette année auraient pu être évités si les développeurs avaient fait un meilleur travail de correction. (s’ouvre dans un nouvel onglet) le défaut d’origine.
De plus, quatre des zero-days découverts cette année sont des retombées de bogues initialement identifiés en 2021.
Les navigateurs sont une cible majeure
« Au moins la moitié des jours 0 que nous avons vus au cours des six premiers mois de 2022 auraient pu être évités avec des tests de correction et de régression plus complets », a déclaré Maddie Stone, l’un des chercheurs.
« En plus de cela, quatre des 0-days de 2022 sont des variantes des 0-days in-the-wild de 2021. À peine 12 mois après la mise à jour du 0-day original in-the-wild, les attaquants sont revenus avec une variante de le bogue d’origine. »
Au total, il y a eu plus de zero-days découverts en 2021 qu’au cours des cinq dernières années. Mais si la négligence peut être un facteur contributif, ce n’est pas la seule cause de cette augmentation, a-t-on dit.
Il y a aussi le fait que, depuis la disparition du lecteur Flash, les cyber-escrocs ont tourné leur attention vers les navigateurs comme leur prochaine plus grande cible. Il y a aussi le fait que les navigateurs sont devenus si gros que leur volume de code rivalise avec celui de certains systèmes d’exploitation.
Pour couronner le tout, les chercheurs se sont probablement améliorés dans la détection des zero-days exploités sur les endpoints (s’ouvre dans un nouvel onglet) dans la nature qu’il y a cinq ans.
Google lui-même a corrigé quatre vulnérabilités zero-day dans son navigateur Chrome, cette année seulement.
Via ZDNet (s’ouvre dans un nouvel onglet)