Спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.
Як виявилося, з 76 тисяч багів, виявлених у період з 2009 до 2018 року, тільки 4 183 експлуатувалися в шкідливих кампаніях. Ба більше, фахівці не виявили кореляції між публікацією PoC-кодів для уразливостей у відкритому доступі і початком спроб їх експлуатації. Наприклад, тільки для половини з 4 183 експлуатованих уразливостей були вільно доступні експлойти.
Згідно зі звітом, більшість уразливостей, експлуатованих в атаках, це проблеми зі ступенем небезпеки 9-10 балів за шкалою CVSSv2 (максимальну оцінку в 10 балів отримують найнебезпечніші уразливості, які легко проексплуатувати).
Фахівці сподіваються, що їх дослідження допоможе поліпшити ефективність фреймворка CVSS за рахунок нових даних про ризики експлуатації тієї чи іншої уразливості, дозволяючи організаціям, що покладаються на CVSS для оцінки пріоритетності патчів, підвищити безпеку своїх систем.
До речі, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.
Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.
Також на щорічній конференції Apple для розробників WWDC 2019 була представлена нова технологія авторизації “Увійти за допомогою Apple”. За бажання користувачі можуть приховати свою фактичну адресу пошти, а Apple випадковим чином згенерує тимчасову адресу.
Окрім цього, Mozilla представила чергове оновлення для свого браузера Firefox 67.0.1, який є є першим мінімальним оновленням версії 67 і його можна зараз завантажити для платформи Windows, Linux і macOS.
