谷歌发布2022年在野利用0-day年度回顾报告

上周，谷歌Threat Analysis Group发布了2022年的在野利用0-day年度回顾报告。根据该篇博客，2022年检测到并公开披露了41个0-day，较之2021年的69个0-day下降了40%，表面上看似乎安全性得到了明显改善，但实际情况要更为复杂。

谷歌安全研究团队称，检测及披露的0-day数目并不能准确反映真实的安全状态。——这是因为无论积极还是消极的变化都会影响到在野0-day的数目。尽管不能以此表示在安全工作上的进展，但仍可用其来分析哪些因素可能对其产生影响，从而进一步审查这些因素是属于卓有成效的领域或是亟待解决的地方。

报告中，谷歌还指出了一些需要注意的关键要点：

1、由于修补时间长，N-day漏洞在安卓上近似于0-day。在Android生态系统中，有多种情况补丁会在相当长的时间内未提供给用户。由此攻击者往往不需要用到0-day漏洞，而是能够利用条件更为宽松的N-day漏洞来进行攻击。

2、零点击漏洞和新的浏览器缓解措施降低了浏览器的0-day漏洞利用。现在许多攻击者已经转向了0-click而不是1-click漏洞利用。由于浏览器提供商的改进，攻击者正在转向以组件为目标的零点击漏洞。

3、新发现的0-day漏洞中超过40%是先前报告的漏洞的变体。谷歌认为，只有在修补程序正确且全面时才能算作完整的修补。正确的修补是指修复漏洞的准确性，即修补程序不再允许对漏洞进行任何利用。全面的修补指将该修补应用于所有需要应用的地方，涵盖所有的变种。在利用单个漏洞时，通常有多种触发漏洞的方式，或者有多条访问漏洞的路径。谷歌称，很多时候，厂商只阻止了在概念验证或攻击样本中显示的路径，而不是全面修复漏洞。同样，安全研究人员也通常止步于报告漏洞，但没有跟进修补程序的工作，并探索相关的攻击。

4、漏洞冲突率较高。2022年更频繁地报告了攻击者使用相同漏洞的情况，以及安全研究人员报告的漏洞后来被发现遭攻击者利用的情况。当发现并修复针对流行消费者平台的实际利用的0-day漏洞的同时，越来越有可能破坏另一个攻击者的漏洞利用。

编辑：左右里

资讯来源：Google

转载请注明出处和本文链接

每日涨知识

0day 漏洞（(Brute Force Attack）

0day 漏洞最早的破解是专门针对软件的，叫做 WAREZ，后来才发展到游戏，音乐，影视等其他内容的。

0day 中的 0 表示 Zero，早期的 0day 表示在软件发行后的 24 小时内就出现破解版本。

在网络攻防的语境下，0day 漏洞指那些已经被攻击者发现掌握并开始利用，但还没有被包括受影响软件厂商在内的公众所知的漏洞，这类漏洞对攻击者来说有完全的信息优势，由于没有漏洞的对应的补丁或临时解决方案，防守方不知道如何防御，攻击者可以达成最大可能的威胁。

﹀

球分享

球点赞