Uma pesquisa da empresa de segurança Risk Based Security mostrou que, de 1º de janeiro até 30 de junho deste ano, 10.644 falhas de segurança em softwares foram detectadas no mundo. O número sozinho já assusta, mas fica pior: desse total, mais de 3 mil não foram reportadas de forma adequada, em bancos de dados de uso comum como o Common Vulnerabilities and Exposures (CVE) e o US National Vulnerability Database (NVD).
Páginas como essas não costumam ser muito acessadas pelo usuário comum, mas suas siglas geralmente aparecem quando uma falha de segurança é relatada. As brechas Meltdown e Spectre, por exemplo, são identificadas oficialmente como CVE-2017-5753 e CVE-2017-5715. Ter as vulnerabilidades registradas nesses bancos de dados ajuda outras empresas a tomarem conhecimento dos problemas, atualizando seus sistemas com os patches se necessário.
Desse grupo de 3.279 falhas não cadastradas, 44,2% eram consideradas graves ou críticas, com uma “nota de severidade” entre 9 e 10, de acordo com o 2018 Mid-Year VulnDB QuickView Report e com reportagem do The Register. “É um problema sério quando uma organização não toma conhecimento dessas vulnerabilidades mais sérias, que representam um risco para seus bens”, disse o pesquisador chefe da RBS, Carsten Eiram, ao site.
O ponto positivo da pesquisa referente ao primeiro semestre deste ano é que quase metade de todas vulnerabilidades registradas pela RBS foram divulgadas de uma forma coordenada e correta. Mas isso não é sinônimo de agilidade na resolução: 25,5% do total de falhas ainda não foi corrigido.