Les correctifs logiciels paresseux créent encore plus de problèmes pour les équipes de sécurité

Les correctifs logiciels paresseux créent encore plus de problèmes pour les équipes de sécurité

Selon un nouveau rapport de Google, des correctifs rapides pour les vulnérabilités zero-day créent de nouveaux problèmes pour les équipes de sécurité.

Selon les chercheurs en cybersécurité de Google Project Zero, la moitié des 18 jours zéro trouvés dans les logiciels de base cette année auraient pu être évités si les développeurs avaient mieux corrigé (ouvre dans un nouvel onglet) la faille d'origine.

De plus, quatre des zero-days découverts cette année sont les conséquences de bogues initialement identifiés en 2021.

Les navigateurs sont une cible majeure

"Au moins la moitié des 0 jours que nous avons vus au cours des six premiers mois de 2022 auraient pu être évités avec des mesures correctives et des tests de régression plus complets", a déclaré Maddie Stone, l'une des chercheuses.

"En plus de cela, quatre des 0 jours de 2022 sont des variantes des 0 jours de 2021 dans la nature. À peine 12 mois après la mise à jour originale de 0 jours dans la nature, les attaquants sont revenus avec une variante du bogue d'origine."

Au total, plus de jours zéro ont été découverts en 2021 qu'au cours des cinq dernières années. Mais bien que la négligence puisse être un facteur contributif, ce n'est pas la seule cause de l'augmentation, a-t-on dit.

Il y a aussi le fait que depuis la disparition de Flash Player, les cybercriminels ont tourné leur attention vers les navigateurs comme prochaine cible principale. Il y a aussi le fait que les navigateurs sont devenus si volumineux que leur volume de code rivalise avec celui de certains systèmes d'exploitation.

Pour couronner le tout, les chercheurs ont probablement amélioré leur capacité à détecter les zero-days minés dans les points finaux(opens in a new tab) dans la nature qu'ils ne l'étaient il y a cinq ans.

Google lui-même a corrigé quatre vulnérabilités zero-day dans son navigateur Chrome cette année seulement.

Via ZDNet (Ouvre dans un nouvel onglet)