Vlákno názorů k článku
Google varuje, že 70 % zneužitých chyb odhalených v roce 2023 byly zero-days od Lukas1500 - Aneb aktualizovat software pro bezpečnost nestačí.

Aneb aktualizovat software pro bezpečnost nestačí.

V zasade se da rict, ze zadna jednotliva vec pro bezpecnost nestaci, ale porad si myslim, ze je to jedna z veci, ktere riziko bezpecnostniho incidentu obvykle snizuji. A i kdyz aktualizace prichazi v dobe, kdy uz je chyba zneuzivana, tak to nutne neznamena, ze uz je zneuzivana i u vas.

Přesně. Když pak člověk každou chvíli někde čte, že byla zneužita zranitelnost, pro kterou byla vydána oprava už někdy v polovině 16. století, je spíš potřeba pořád připomínat, že je potřeba aktualizovat. Aktualizace jsou podmínka nutná, nikoli dostačující.

Takhle osamoceně je ta věta dost zavádějící a nebezpečná.

Z celého článku plynu, že aktualizovat je potřeba co nejrychleji, protože průměrná doba od objevení problému ke zneužívání chyby klesla s nedávných desítek dnů na pět dnů. Takže aktualizovat má stále smysl, a je potřeba aktualizovat rychle.

To, že je zneužívána 0-day, ještě neznamená, že je zneužívána plošně. Užitečný by také byl přehled exploitů podle produktů – jestli se pravděpodobnost 0-day zranitelnosti nedá výrazně snížit nepoužívání některého konkrétního softwaru.

"Takže aktualizovat má stále smysl, a je potřeba aktualizovat rychle."
Smysl to má, zejména když aktualizace obsahuje opravu zranitelnosti. Pokud aktualizace nestíhají na nově zveřejněnou zranitelnost reagovat, o to větší smysl má bezpečnost návrhem. Například se zamyslet, jestli každý přístroj/apli­kace/proces skutečně potřebuje být připojen k Internetu a jaká data přenáší a smí přenášet. Jestli všechna data musí být přístupná. Nebo třeba jestli každý mikrofon musí slyšet a každá kamera musí vidět :-)