Ogni mese, le principali aziende rilasciano spesso aggiornamenti per migliorare ulteriormente le prestazioni dei dispositivi. Ma ne approfittano anche per risolvere tutti i problemi di sicurezza rilevati lungo il percorso, al fine di mantenere gli utenti sempre protetti. Alcuni anni fa, Google ha creato Project Zero, un team di ricerca dedicato a rilevare i difetti di sicurezza sia nelle applicazioni che nei sistemi operativi. Questi guasti vengono rapidamente comunicati al produttore in questione, dando loro un margine di 90 giorni per risolverlo prima di renderlo ufficiale, una posizione che mette in pericolo gli utenti, poiché gli amici dall'esterno possono approfittarne per ottenere informazioni sull'utente.
Lasciando da parte la politica di Google, queste due vulnerabilità sono zero day, cioè sono vulnerabilità Sono presenti da quando è stata creata l'applicazione e non sono stati rilevati dallo sviluppatore quando creo l'applicazione o il sistema operativo, le applicazioni oi sistemi interessati sono stati e continuano ad essere soggetti ad attacchi finché il problema non viene risolto.
Secondo Project Zero, questa vulnerabilità è molto facile da sfruttare, poiché richiede solo 17 righe di codice HTML focalizzandole sulle variabili rcx e rax, il che consentirebbe agli amici dall'esterno di controllare il nostro browser e quindi essere in grado di accedere ai nomi degli utenti e alle password che abbiamo salvato in Internet Explorer o Microsoft Edge.
Questa volta i browser interessati sono stati Internet Explorer e Microsoft Edge. Come ho accennato all'inizio di questo articolo, Project Zero è stato costretto a informare gli utenti su questa vulnerabilità da quando sono passati i 90 giorni normativi che ha offerto a Microsoft per risolvere questo problema. Come riportato da MSPowerUser, il modo migliore per evitare di subire qualche tipo di attacco che il nostro browser controlla, è far funzionare i browser come se fossimo un utente ospite, cioè senza privilegi di alcun tipo.