Con l’inizio del nuovo anno, Dustin Childs della Zero Day Initiative ha pensato bene di fare un punto sull’anno appena trascorso in termini di bug e varie problematiche di sicurezza emerse.
La prima cosa sottolineata dall’autore, indicata in apertura dell’articolo, è il determinante contributo fornito dai ricercatori indipendenti, grazie ai quali ZDI è riuscita a pubblicare tutte le advisories nel corso dell’anno.
Per dare un’idea di quanto stiamo parlando, è utile mostrare questa immagine:
(in nero il numero di falle di tipo zero day)Dal 2005, anno di “inizio lavori” per ZDI al 2022, il numero di advisories è cresciuto costantemente, tanto da portare a 1706 le pubblicazioni dell’anno appena trascorso, quasi 5 al giorno!
Ma quindi quali sono stati i bug più succosi? Eccone una rapida carrellata:
- ZDI-22-1655: Microsoft Teams
Sfruttando due vulnerabilità nel client per Windows consente di eseguire codice remoto sulla macchina del mal capitato. - ZDI-22-1406/ZDI-22-1407: Tesla Model 3
Una compromissione del modello 3 di Tesla che consentiva di prendere controllo dell’automobile, attivando gli abbaglianti, i tergicristalli ed aprendo il portellone. Il tutto senza minimamente toccare la macchina. Vedere per credere. - ZDI-22-1690: Linux Kernel
Vi ricordate il nostro articolo “C’è una grossa falla nel Kernel Linux (specificamente nel suo server SMB) che vale la pena tenere d’occhio“? - ZDI-22-856: OPC UA .NET Standard
In merito ai certificati usati da .NET su applicazioni industriali, definito dall’autore come “una tra le migliori ricerche mai presentate ad un Pwn20wn, l’evento promosso dall’associazione a tema sicurezza. - ZDI-22-1624: Microsoft Exchange Server
Definito ProxyNoShell, con le 31 advisories contenute nel CVE-2022-41082, che sostanzialmente riguarda 70.000 server Exchange esposti su internet.
Insomma, chi più ne ha, più ne metta (anche se Microsoft ne mette di più in questo caso).
Vi interessa sapere quali aziende sono state più affette da queste problematiche?
Ecco il riassunto:
Niente di nuovo sotto il sole, verrebbe da dire, ricordando però anche come non sempre un alto numero di bug denota una scarsa qualità del codice prodotto. A volte è il contrario. Certo però che osservando come Adobe stacchi tutti sensibilmente, due domande…
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Tags: Bug, ZDI, Zero Day Initiative
English (US)