Nel corso degli ultimi anni, i browser basati su Chromium, primo fra tutti Google Chrome, nonostante il tutto valga ad esempio anche per Edge, hanno visto sempre più attacchi zero-day arrivare. Google ha avuto modo di commentare la questione, spiegando cosa sta all’effettivamente succedendo e in che modo il colosso ha intenzione di combattere questa brutta piaga, seppur ovviamente sia impossibile assicurarsi uno stop al 100%.
I dati ottenuti dal team del Progetto Zero di Google mostrano come i 0-day che bersagliano Chrome siano aumentati esponenzialmente a partire dal 2019, con delle motivazioni che a quanto pare vanno ricercate nello specifico con l’aumentare delle possibilità e funzionalità dei browser ad esempio, come nella necessità di stanare diversi bug per fermare gli attacchi. Vi riportiamo qui di seguito alcune delle dichiarazioni della società in merito alla situazione, riprese sulle pagine di 9to5Google:
Attraverso il progetto pluriennale dell’isolazione dei siti di Chrome ormai completato in gran parte, un solo bug non ha modo di creare dei veri problemi. Gli aggressori si trovano a concatenare un minimo di due bug, il primo al fine di compromettere il processo di rendering, e il secondo per saltare nel processo privilegiato del browser Chrome o nel sistema operativo dei dispositivi. A volte servono diversi bug per arrivare ad almeno uno di questi passaggi.
Abbiamo ridotto il tempo che passa fra una patch e l’altra da 35 giorni in Chrome 76 a una media di 18 giorni come traguardo, e ci aspettiamo di riuscire a ridurlo ulteriormente aumentando di poco il rilascio di novità per Chrome.
La compagnia punta inoltre a combattere gli attacchi nati da bug già risolti e visibili nel repertorio open-source, che possono essere sfruttati per via di coloro che non hanno ancora avuto modo di aggiornare Chrome.