Vulnerabilidades batem recorde atrás de recordes.

As vulnerabilidades são um dos elementos frequentemente identificados em incidentes de segurança e, junto com outras ameaças, como exploits ou malware, tornam-se um risco latente. A ESET, líder em detecção proativa de ameaças, revela que 2018 atingiu seu pico, superando os anos anteriores, e detalha quais tipos foram mais frequentes. A gravidade das vulnerabilidades é determinada por diferentes fatores, como o impacto na confidencialidade, integridade ou disponibilidade das informações, bem como o vetor de ataque utilizado, a complexidade do ataque, os privilégios necessários ou a interação do usuário. Para isso, é necessário um sistema que permita o cálculo dos efeitos negativos. É importante notar que o crescimento poderia ter sido maior, já que as vulnerabilidades de dia zero — aquelas desconhecidas do público e do próprio desenvolvedor do programa, que, ao serem detectadas, têm 'zero dias' para corrigir, ou seja, o fabricante do software deve corrigi-las imediatamente e evitar que se tornem públicas e/ou sejam exploradas por criminosos — não são levadas em conta. Até o final de dezembro, 16.555 vulnerabilidades haviam sido registradas de acordo com relatórios feitos no CVE (Common Vulnerabilities and Exposures), representando um aumento de 12% em comparação com 2017. Isso equivale a uma média de 46 ameaças relatadas por dia durante 2018. No entanto, as mais críticas (com classificação maior ou igual a 7 e 9 de acordo com o CVSS v3.0) tiveram uma leve queda em relação ao ano anterior. Os produtos com mais vulnerabilidades em 2018 foram a distribuição Linux chamada Debian em primeiro lugar, seguida pelo Android em segundo. Outros sistemas amplamente utilizados que aparecem no ranking incluem Ubuntu em terceiro lugar, Red Hat Enterprise Linux Server em quinto e Windows 10 em décimo. Apesar de o Debian estar em primeiro lugar em vulnerabilidades, durante 2018, as detecções de código malicioso especificamente projetado para afetar o Linux representaram apenas 1% do total de detecções, enquanto para os sistemas operacionais Microsoft, o número subiu para mais de 6%. Os fabricantes com mais vulnerabilidades em 2018 foram Debian (903), Oracle (690) e Microsoft (674), enquanto os aplicativos foram Firefox (333), Acrobat DC e Acrobat Reader DC (286) e PhantomPDF (223), e os fabricantes com casos mais graves são Adobe (8,80), Qualcomm (8,50) e RealNetworks (8,50). Os tipos mais frequentes de vulnerabilidades em 2018 foram execução de código (23%), ataques de estouro (18%) e Cross Site Scripting, ou XSS (15%). Além disso, 79% das relacionadas à execução de código eram graves (pontuação de criticidade maior ou igual a sete). Não é surpresa, então, que a exploração de vulnerabilidades seja um dos vetores de comprometimento mais comumente usados. Essas vulnerabilidades impactam tanto usuários domésticos quanto empresas. “As vulnerabilidades continuarão a aparecer ano após ano porque são inevitáveis e inerentes ao desenvolvimento de aplicativos e dispositivos. A ESET defende que a prevenção e o conhecimento são fundamentais para se manter seguro e desfrutar da tecnologia disponível sob uma perspectiva de segurança”, acrescenta Camilo Gutierrez, chefe do ESET Latin America Research Lab. Fonte: Relatório de Segurança