Les correctifs logiciels bâclés sont une tendance inquiétante
Tout le but de divulgation des vulnérabilités consiste à informer les développeurs de logiciels des failles de leur code afin qu’ils puissent créer des correctifs ou des correctifs et améliorer la sécurité de leurs produits. Mais après 17 ans et plus de 10 000 divulgations de vulnérabilités, la Zero Day Initiative dénonce une tendance inquiétante lors de la conférence sur la sécurité Black Hat à Las Vegas aujourd’hui et annonce un plan pour appliquer une certaine contre-pression.
ZDI, qui appartient à la société de sécurité Trend Micro depuis 2015, est un programme qui achète les découvertes de vulnérabilités aux chercheurs et gère la divulgation aux fournisseurs. En échange, Trend Micro, qui fabrique un outil antivirus et d’autres produits de défense, obtient une mine d’informations et de télémétrie qu’il peut utiliser pour suivre les recherches et, espérons-le, protéger ses clients. Le groupe estime avoir traité environ 1 700 divulgations jusqu’à présent cette année. Mais ZDI dit que de son point de vue, la qualité des correctifs des fournisseurs dans son ensemble a baissé ces dernières années.
Contenu
Ce contenu peut également être consulté sur le site dont il provient.
De plus en plus souvent, le groupe achète un bogue à un chercheur, il est corrigé, et peu de temps après, ZDI achète un autre rapport sur la façon de contourner le correctif, parfois avec plusieurs séries de correctifs et de contournement. ZDI dit également avoir remarqué une tendance inquiétante des entreprises à divulguer des informations moins spécifiques sur les vulnérabilités dans leurs alertes de sécurité publique, ce qui rend plus difficile pour les utilisateurs du monde entier d’évaluer la gravité d’une vulnérabilité et de formuler une priorisation des correctifs, une réelle préoccupation pour les grandes institutions et les critiques. Infrastructure.
Au cours des dernières années, nous avons vraiment remarqué que la qualité des correctifs de sécurité a sensiblement diminué, déclare Dustin Childs, membre du ZDI. Il n’y a aucune responsabilité pour avoir des correctifs incomplets ou défectueux.
Les chercheurs de ZDI disent que les mauvais correctifs se produisent pour diverses raisons. Déterminer comment corriger les failles logicielles peut être un processus nuancé et délicat, et parfois les entreprises manquent d’expertise ou n’ont pas fait l’investissement nécessaire pour générer des solutions élégantes à ces problèmes importants. Les organisations peuvent se précipiter pour fermer les rapports de bogues et effacer leur liste et ne pas prendre le temps nécessaire pour effectuer une analyse des causes profondes ou des variantes et évaluer les problèmes sous-jacents afin que les problèmes plus profonds puissent être résolus de manière globale.
Quelle que soit la raison, les mauvais correctifs sont une réelle préoccupation. Fin juin, l’équipe de chasse aux bugs de Google Project Zero a signalé que parmi les nouvelles vulnérabilités exploitées dans la nature qu’elle a suivies jusqu’à présent en 2022, au moins la moitié sont des variantes de failles précédemment corrigées.