Zero day, picco delle vulnerabilità del browser Web nel 2014

Il numero di vulnerabilità zero-day e del browser Web è aumentato nel 2014, ma i fornitori di software complessivi stanno correggendo più rapidamente.

I dati provengono da Secunia, un fornitore di sicurezza danese che rilascia uno studio annuale sulle tendenze nelle vulnerabilità del software, che vengono utilizzate dagli hacker per compromettere i computer.

Le vulnerabilità zero-day - che sono difetti del software attivamente utilizzate dagli aggressori quando divulgate pubblicamente - sono aumentate da 14 nel 2013 a 25 l'anno scorso. Questi tipi di difetti sono tra i più pericolosi e apprezzati dagli attaccanti poiché le patch non sono disponibili presso i fornitori.

I difetti nel software del browser Web sono aumentati a 1.035 nel 2014, rispetto ai 728 dell'anno precedente, secondo il rapporto Secunia.

Ma la buona notizia è che i fornitori si stanno muovendo più velocemente per correggere i difetti. Secunia ha scoperto che oltre l'83 percento delle 15.435 vulnerabilità rilevate in 3.870 applicazioni avevano una patch disponibile quando un difetto veniva rivelato pubblicamente.

Rispetto al 78,5 percento nel 2013 e molto meglio rispetto al 2009, quando solo il 49,9 percento dei prodotti aveva una patch pronta.

"La spiegazione più probabile è che i ricercatori stanno continuando a coordinare i loro rapporti di vulnerabilità con i fornitori e i loro programmi di vulnerabilità, con conseguente disponibilità immediata di patch per la maggior parte dei casi", secondo il rapporto.

Ma Secunia ha scoperto che se una patch non fosse pronta il giorno in cui è stato rivelato un difetto, è probabile che i fornitori non avrebbero dato la priorità a una correzione. La percentuale di prodotti che avevano un cerotto pronto un mese dopo la rivelazione di un difetto è salita solo all'84,3 percento.

Secunia ha anche esaminato il software PDF, che è spesso preso di mira dagli hacker poiché quasi tutti i computer lo hanno installato.

Le applicazioni PDF di Adobe Systems sono tra le più attaccate su Internet a causa della loro prevalenza. Secunia ha dichiarato che il programma Adobe Reader, che ha una quota di mercato dell'85%, ha registrato 43 vulnerabilità l'anno scorso.

Negli ultimi anni, Adobe ha intrapreso un programma aggressivo per scansionare il codice dell'applicazione per problemi di sicurezza e generare rapidamente patch quando vengono rilevati problemi.

Secunia ha scoperto che il 32 percento dei computer rilevati con i dati dal proprio Personal Software Inspector, che controlla il numero di versione dei programmi, non aveva una versione aggiornata di Adobe Reader, mettendo a rischio gli utenti.

La società ha anche esaminato le vulnerabilità nel software open-source, una crescente preoccupazione per la sicurezza dopo che sono state rilevate diverse gravi vulnerabilità nel software crittografico OpenSSL.

La prima grave vulnerabilità di OpenSSL, soprannominata Heartbleed, ha colto di sorpresa molti a causa del suo potenziale impatto e dell'ampia varietà di programmi che lo utilizzano. Secunia pensava che i distributori avrebbero potuto velocizzare la patch di OpenSSL dopo che sono stati rilevati problemi successivi l'anno scorso.

Non è stato così, però. Molti fornitori non hanno patchato più velocemente per altri difetti OpenSSL post-Heartbleed, afferma il rapporto.

"Le organizzazioni non dovrebbero presumere di essere in grado di prevedere quali fornitori sono affidabili e rapidi nel reagire quando vengono scoperte vulnerabilità in prodotti in bundle con librerie open source", ha detto Secunia.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.