Les chercheurs en sécurité de Google ont appelé 2020 l’année des exploits zero-day en raison du grand nombre de ces vulnérabilités qui ont été détectées et corrigées l’année dernière

Dans un article de révision d’un an, les chercheurs ont partagé que, bien qu’ils soient encore loin de détecter les exploits zero-day dans la nature, étonnamment un quart d’entre eux proviennent de vulnérabilités déjà révélées et auraient facilement pu être empêché

“1 exploit sur 4 détecté à 0 jour aurait pu être évité si une enquête plus approfondie et un effort de correction avaient été explorés”, a écrit Maddie Stone, chercheuse en sécurité au sein de l’équipe Project Zero de Google.

Selon Stone, le projet Zero a découvert l’année dernière 24 exploits zero-day qui étaient activement utilisés dans la nature

Dans son article, elle en décompose six pour révéler comment elles étaient liées à des vulnérabilités précédemment révéléesCertains de ces exploits 0 jours n’ont eu qu’à changer une ou deux lignes de code pour avoir un nouvel exploit 0 days”, écrit-elle

En décomposant les six vulnérabilités découvertes par l’équipe dans Chrome, Firefox, Internet Explorer, Safari et Windows, Stone note qu’elles étaient le résultat de correctifs inappropriés Étonnamment, son analyse a également révélé que trois des vulnérabilités corrigées en 2020 étaient à nouveau «soit pas corrigées correctement, soit pas complètement corrigées.

Stone demande aux fournisseurs de faire tous les investissements nécessaires pour publier des correctifs corrects et complets pour les vulnérabilités qui couvrent toutes ses variantes: «Several times, nous voyons des fournisseurs bloquer uniquement le chemin indiqué dans la preuve de concept ou l’exploit. échantillon, plutôt que de corriger la vulnérabilité dans son ensemble, ce qui bloquerait tous les chemins

Stone impose également une certaine responsabilité aux chercheurs en sécurité qui devraient faire un meilleur travail de suivi et de test du correctif.

Nous aimerions vraiment travailler plus étroitement avec les fournisseurs sur les correctifs et les atténuations avant la publication du correctif”, suggère-t-elle, adding that “une collaboration précoce et des commentaires pendant le processus de conception et de mise en œuvre du correctif sont bons pour tout le monde. Les chercheurs et les fournisseurs peuvent économiser du temps, des ressources et de l’énergie en travaillant ensemble, plutôt que de corriger la différence d’un binaire après sa publication et en réalisant que la vulnérabilité n’a pas été complètement corrigée

TechRadar is part of Future plc, a leading international media group and digital publisher Visit our corporate site

©
Future Publishing Limited Quay House, The Ambury,
Bath
BA1 1UA All rights reserved Company registration number for England and Wales 2008885

Zero-day, Patch, Google, Vulnerability, Project Zero

News – GB – C’est ainsi que Google dit que nous pouvons tous réduire les menaces de sécurité
Associated title :
C’est ainsi Google dit que nous pouvons tous réduire les menaces de sécurité

Source: https://www.techradar.com/in/news/this-is-the-way-google-says-we-can-all-cut-down-on-security-threats

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/