Üreticileri daha iyi güvenlik yükseltmeleri sağlamaya teşvik etmek için, bir güvenlik açığı satıcısı olan Zero Day Initiative (ZDI), eksik düzeltmeler için açıklama son tarihlerini kısalttı.
Güvenlik şirketi Trend Micro’nun ZDI’si, yama kalitesinde “rahatsız edici” bir düşüş ve düzeltmelerle ilgili belirsiz mesajlardaki artış olarak adlandırdığı şeyin bir sonucu olarak hareket ediyor.
İşletmeler üzerindeki etkisi, sistemlerine yönelik tehlikeyi değerlendirememeleri ve daha sonra yayınlanan ve yeniden uygulama gerektiren kısmi düzeltmeleri dağıtarak para israf etmeleridir.
Yazılım tedarikçilerinin bir düzeltmeyi dağıtmak için ZDI’nin düzenli açıklama zaman çerçevesine göre 120 günü var, ancak aynı zamanda izleyeceği “başarısız yamalar” için daha kısa son tarihler belirliyor.
Bir yama başarısız olursa ve kusur ciddiyse, istismar bekleniyorsa ve yamanın üstesinden gelmek kolaysa, tedarikçilere 30 gün içinde düzeltmeleri için izin verilir. Yama bir miktar savunma sunuyorsa ve istismar akla yatkınsa, satıcıların kritik ve yüksek önemdeki sorunları çözmek için 60 günleri olacaktır. Bunların altında önem düzeyine sahip ve herhangi bir anında istismar tehdidi olmayan diğer güvenlik açıkları için 90 gün süre verilecektir.
Yazılım üreticileri de tamamlanmamış güncellemeler yayınladığı için Google Project Zero araştırmacısı Maddie Stone’dan eleştiri aldı. Daha kapsamlı yama ve regresyon testlerinin 2022’nin ilk yarısında 18 sıfır gün veya daha önce bildirilmemiş sorunların yarısını önlemiş olabileceğini hesapladı. Bazı kusurlar başlangıçta ele alındı, ancak sonunda geri döndüler.
Saldırganlar, kök neden sorunu çözülmediği için ilk güvenlik açığını yeni bir yoldan geri getirip yeniden ortaya çıkarabildiklerini söyledi.
Sadece yama kalitesi bir sorun değildir; şirketler de güvenlik açıklarını ifşa etmekte başarısız oluyor. ZDI’dan Dustin Childs, Microsoft’un 2020’den itibaren her Salı Salı günü Güvenlik Güncelleştirme Kılavuzu’na (SUG) yönetici özetlerini dahil etmeyi bırakma niyetini eleştiriyor.
Black Hat 2022’de konuşan Childs’a göre, savunucular artık daha önce yaptıkları bağlamı, örneğin hangi güvenlik özelliğinden kaçınıldığı gibi bilgileri almıyorlar.
Ayrıca, araştırmacıların 2005’ten bu yana 10.000 hata ortaya çıkaran ZDI aracında analiz ettiği kusurların %10 ila %20’sinin hatalı veya yetersiz bir onarımın sonucu olduğunu hesapladı.
Siber Güvenlik Araştırmacısı. Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
18 yılı aşkın deneyime sahip bir siber güvenlik araştırmacısıdır. İstihbarat Teşkilatında Kıdemli İstihbarat Subayı olarak görev yaptı. Ayrıca Citrix ve Google’ın siber güvenlik çözümlerinin dağıtımına yönelik projelerinde çalıştı. Birçok siber suçun önlenmesinde hükümete ve birçok federal kuruma yardım etti. Son 5 yıldan beri boş zamanlarında bizim için yazıyor.