信息來(lái)源：安全內(nèi)參

• 谷歌Project Zero披露，2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例；
• 從技術(shù)角度來(lái)看，其中僅有2個(gè)“非常新穎”的漏洞，其余56個(gè)基本屬于“以往已公開(kāi)漏洞的翻版”；
• Project Zero希望，2022年能有更多廠商通過(guò)安全公告披露漏洞的在野利用情況，廣泛共享漏洞利用示例或詳細(xì)技術(shù)描述，專注減少甚至消除內(nèi)存破壞漏洞。

谷歌Project Zero研究人員表示，2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例。這是該小組自2014年成立以來(lái)，發(fā)現(xiàn)并披露零日漏洞利用案例最多的一年。

在此之前，追蹤案例量最多的2015年共發(fā)現(xiàn)28起，尚不足2021年的一半。Project Zero安全研究員Maddie Stone在昨天（4月19日）發(fā)布的報(bào)告中表示，“相較于2020年的25起，去年攀升速度確實(shí)相當(dāng)顯著?！?

新的軟件漏洞一直在持續(xù)被發(fā)現(xiàn)、披露及修復(fù)，而且大多能夠搶在黑客團(tuán)伙實(shí)際利用之前。而Project Zero主要關(guān)注由黑客團(tuán)伙首先發(fā)現(xiàn)并利用的漏洞，也就是軟件廠商需要盡快修復(fù)的“零日漏洞”。

Stone對(duì)2021年零日漏洞案例發(fā)現(xiàn)總量上升給出了解釋。從好的一面來(lái)說(shuō)，數(shù)字增長(zhǎng)能是由于對(duì)零日漏洞的檢測(cè)和披露增加，而不是對(duì)它們的使用增加。

壞的一面來(lái)看，“惡意黑客采取的手段跟前幾年其實(shí)沒(méi)有太大變化”“他們?nèi)阅芤揽肯嗤穆┒茨Ｊ脚c利用技術(shù)，在同樣的攻擊面上順利得手?！?

致力提高零日漏洞利用門(mén)檻

Project Zero已經(jīng)將這些零日漏洞信息公布在一份公開(kāi)電子表格中。項(xiàng)目小組在發(fā)布前已經(jīng)向各軟件廠商提交了漏洞信息，保證他們能夠有時(shí)間發(fā)布修復(fù)補(bǔ)丁或安全更新。他們的使命是“提高零日漏洞的利用門(mén)檻?！盨tone表示，“總的來(lái)說(shuō)，只要讓惡意黑客無(wú)法通過(guò)公開(kāi)的方法或手段利用零日漏洞，就算實(shí)現(xiàn)了拔高門(mén)檻的目標(biāo)?！?

Project Zero整理出的這份表格，僅包含那些被軟件廠商或獨(dú)立研究員成功檢出并披露的漏洞。Stone說(shuō)，“我們永遠(yuǎn)無(wú)法確切了解，這些已被公開(kāi)發(fā)現(xiàn)并披露的漏洞，在全部零日漏洞中到底占多大比例。”

對(duì)零日漏洞的利用往往會(huì)帶來(lái)嚴(yán)重的破壞性后果，多年來(lái)一直是網(wǎng)絡(luò)安全領(lǐng)域一股令人不安的恐懼之源。比如2021年9月，公民實(shí)驗(yàn)室曾發(fā)布調(diào)查報(bào)告，披露以色列監(jiān)控廠商N(yùn)SO Group采購(gòu)零日漏洞內(nèi)置在間諜軟件產(chǎn)品中，這款產(chǎn)品廣受各國(guó)政府青睞，還被用于監(jiān)控記者及社會(huì)活動(dòng)家。

Project Zero研究人員在2021年12月披露，NSO Group的這款間諜軟件（公民實(shí)驗(yàn)室命名為FORCEDENTRY）是他們見(jiàn)到過(guò)的“技術(shù)復(fù)雜度最高的攻擊之一”，其水平之高超，完全能與“少數(shù)幾個(gè)民族國(guó)家支持的黑客攻擊”相媲美。

Stone還表示，從技術(shù)角度來(lái)看，Project Zero在2021年發(fā)現(xiàn)并披露的58個(gè)零日漏洞中，F(xiàn)ORCEDENTRY屬于僅有的2個(gè)“非常新穎”的案例，其余56個(gè)基本屬于“以往已公開(kāi)漏洞的翻版”。

Stone認(rèn)為，這種趨勢(shì)“對(duì)科技行業(yè)來(lái)說(shuō)是個(gè)好消息”，意味著軟件廠商發(fā)現(xiàn)的大部分新漏洞，跟之前記錄在案的漏洞區(qū)別不大，相對(duì)容易解決。

越來(lái)越多軟件廠商開(kāi)始主動(dòng)檢出并公布自家產(chǎn)品中的零日漏洞。過(guò)去一年內(nèi)，谷歌發(fā)現(xiàn)了7個(gè)零日漏洞，微軟則發(fā)現(xiàn)了10個(gè)。

Project Zero團(tuán)隊(duì)希望，2022年能有更多廠商通過(guò)安全公告披露漏洞的在野利用情況，并廣泛共享漏洞利用示例或詳細(xì)技術(shù)描述。

從技術(shù)角度出發(fā)，Project Zero團(tuán)隊(duì)希望更多研究人員和安全專家，能專注減少甚至消除內(nèi)存破壞漏洞。一旦出現(xiàn)此類漏洞，軟件往往會(huì)在使用計(jì)算機(jī)內(nèi)存時(shí)，無(wú)意間引發(fā)異常行為或?qū)е卤罎ⅰ?