Non è un segreto che il 2015 sia stato un anno difficile, per quanto riguarda la sicurezza, per Adobe Flash Player. A parte Adobe stesso che inizia essenzialmente a deprecare lo sviluppo di Flash in gran parte a causa del fatto che lo stato di vecchia data di Flash Player è un obiettivo primario per gli aggressori, il rapporto sulle vulnerabilità e le statistiche degli aggiornamenti di sicurezza raccontano una storia. La pagina pertinente sul sito di Adobe elenca 22 giorni separati in cui ha eliminato le patch per Flash Player, incluso un numero considerevole di versioni out-of-band per correggere zero-days. (Come il Hacking Team zero-days . E Pawn Storm zero-day . E Natale zero-day .) The National Vulnerability Database liste 330 ID CVE distinti emessi per le vulnerabilità segnalate di Flash Player nel 2015. Non numeri divertenti.
Ma la cosa sconcertante per me è meno che così tanti sono state rilevate vulnerabilità in Flash Player nel 2015 e più che in questo modo sono state rilevate molte altre vulnerabilità nel 2015 rispetto agli anni precedenti. Secondo il NVD, nel 2013 Sono stati emessi 56 CVE per le vulnerabilità di Flash Player. Nel 2014 , il numero è leggermente aumentato a 74. Ma passare da 74 a 330 è un salto sorprendente.
Quindi cosa c'era dietro quella drammatica ondata dello scorso anno? I soli fattori ipotetici che mi sono venuti in mente sono stati (a) caso, (b) alcuni importanti cambiamenti nel modo in cui Adobe definisce vulnerabilità separate, e (c) qualche spostamento nel focus dei ricercatori di sicurezza alla ricerca di vulnerabili di Flash Player come target come il client Java e Windows hanno (discutibilmente) stato indurito. Ma quelle sono solo supposizioni selvagge, pseudo-educate che nemmeno io trovo terribilmente avvincente. Qualcuno ha qualcosa di più solido sul perché il numero di vulnerabilità di Flash Player / zero-days / patches è esploso lo scorso anno?