Google: un parche adecuado evita el 25% de todos los días cero encontrados en 2020

Google dijo hoy que una cuarta parte de todas las vulnerabilidades de día cero que se descubrió que se explotaron en la naturaleza en 2020 podrían haberse evitado si los proveedores hubieran parcheado adecuadamente sus productos.

La empresa anunció su proyecto a través del Zero Security Team Se encontraron 24 días cero En 2020 los atacantes fueron explotados.

Estas son variaciones de las vulnerabilidades reveladas en los seis años anteriores, donde los atacantes tienen acceso a informes de errores antiguos para poder estudiar el problema anterior e implementar una nueva versión de exploits.

“Algunos de estos exploits de día 0 simplemente tuvieron que cambiar una línea o dos de código para tener un nuevo exploit de día 0”, dijo Maddie Stone, miembro de Project Zero hoy. Entrada en el blog.

Esto incluye cero días en Chrome, Firefox, Internet Explorer, Safari y Windows.

Zero-days-repurposed.png

Imagen: Google Project Zero

Además, otros tres días cero descubiertos y pegados en 2020 podrían explotarse de manera similar.

Stone dijo que tres parches de inicio de día cero necesitaban correcciones adicionales para afectar a Chrome, Internet Explorer y Windows.

Si un actor intimidante echa un vistazo a los parches, puede crear fácilmente nuevos exploits, volver a armar la misma vulnerabilidad y continuar con sus ataques.

Días cero, no analizados.  png

Imagen: Google Project Zero

Stone, que también mostró sus resultados. En la Conferencia de Seguridad Virtual USENIX Enigma Esta semana, los vendedores dijeron que podrían investigar la causa raíz de los errores con más profundidad e invertir más en el proceso de parcheo para evitar esta situación.

El investigador de Project Zero instó a otros profesionales de la seguridad a aprovechar la exposición a la vulnerabilidad de día cero y analizarla con más profundidad.

Stone argumenta que los días cero proporcionan una ventana a la mente del atacante, y el atacante debería intentar averiguar sobre los vectores de entrada que intentan explotar, determinar la clase de vulnerabilidad y luego implementar una mitigación integral.

Stone dijo que esta fue la razón principal por la que el equipo de Google Project Zero se fundó hace años, lo que significa “aprender de los días 0 de explotación en la naturaleza para hacer que los días 0 sean más difíciles”.

READ  'No tengo nada que decirle al expresidente Peña': Robles

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *