Les chercheurs en sécurité de Google ont appelé 2020 l’année des exploits zero-day en raison du grand nombre de ces vulnérabilités qui ont été détectées et corrigées l’année dernière

Dans un article de révision d’un an, les chercheurs ont partagé que, bien qu’ils soient encore loin de détecter les exploits zero-day dans la nature, étonnamment un quart d’entre eux proviennent de vulnérabilités déjà révélées et auraient facilement pu être empêché

“1 exploit sur 4 détecté à 0 jour aurait pu être évité si une enquête plus approfondie et un effort de correction avaient été explorés”, a écrit Maddie Stone, chercheuse en sécurité au sein de l’équipe Project Zero de Google.

Selon Stone, le projet Zero a découvert l’année dernière 24 exploits zero-day qui étaient activement utilisés dans la nature

Dans son article, elle en décompose six pour révéler comment elles étaient liées à des vulnérabilités précédemment révélées “Certains de ces exploits 0 jours n’ont eu qu’à changer une ou deux lignes de code pour avoir un nouvel exploit 0 jours”, écrit-elle

En décomposant les six vulnérabilités découvertes par l’équipe dans Chrome, Firefox, Internet Explorer, Safari et Windows, Stone note qu’elles étaient le résultat de correctifs inappropriés Étonnamment, son analyse a également révélé que trois des vulnérabilités corrigées en 2020 étaient à nouveau «soit pas corrigées correctement, soit pas complètement corrigées.”

Stone demande aux fournisseurs de faire tous les investissements nécessaires pour publier des correctifs corrects et complets pour les vulnérabilités qui couvrent toutes ses variantes: «Plusieurs fois, nous voyons des fournisseurs bloquer uniquement le chemin indiqué dans la preuve de concept ou l’exploit. échantillon, plutôt que de corriger la vulnérabilité dans son ensemble, ce qui bloquerait tous les chemins”

Stone impose également une certaine responsabilité aux chercheurs en sécurité qui devraient faire un meilleur travail de suivi et de test du correctif.

“Nous aimerions vraiment travailler plus étroitement avec les fournisseurs sur les correctifs et les atténuations avant la publication du correctif”, suggère-t-elle, ajoutant que “une collaboration précoce et des commentaires pendant le processus de conception et de mise en œuvre du correctif sont bons pour tout le monde. Les chercheurs et les fournisseurs peuvent économiser du temps, des ressources et de l’énergie en travaillant ensemble, plutôt que de corriger la différence d’un binaire après sa publication et en réalisant que la vulnérabilité n’a pas été complètement corrigée”

TechRadar fait partie de Future plc, un groupe de médias international et un éditeur numérique de premier plan Visitez notre site corporatif

©
Future Publishing Limited Quay House, The Ambury,
Une baignoire
BA1 1UA Tous les droits sont réservés Numéro d’enregistrement de la société d’Angleterre et du Pays de Galles 2008885

Zero-day, Patch, Google, Vulnerability, Project Zero

Actualités – GB – C’est ainsi que Google dit que nous pouvons tous réduire les menaces de sécurité
Titre associé :
C’est ainsi Google dit que nous pouvons tous réduire les menaces de sécurité

Source: https://www.techradar.com/in/news/this-is-the-way-google-says-we-can-all-cut-down-on-security-threats

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/