信息來源：安全內(nèi)參

• 谷歌Project Zero披露，2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例；
• 從技術(shù)角度來看，其中僅有2個“非常新穎”的漏洞，其余56個基本屬于“以往已公開漏洞的翻版”；
• Project Zero希望，2022年能有更多廠商通過安全公告披露漏洞的在野利用情況，廣泛共享漏洞利用示例或詳細技術(shù)描述，專注減少甚至消除內(nèi)存破壞漏洞。

谷歌Project Zero研究人員表示，2021年共追蹤到58起“在野”發(fā)生的零日漏洞利用案例。這是該小組自2014年成立以來，發(fā)現(xiàn)并披露零日漏洞利用案例最多的一年。

在此之前，追蹤案例量最多的2015年共發(fā)現(xiàn)28起，尚不足2021年的一半。Project Zero安全研究員Maddie Stone在昨天（4月19日）發(fā)布的報告中表示，“相較于2020年的25起，去年攀升速度確實相當(dāng)顯著?！?

新的軟件漏洞一直在持續(xù)被發(fā)現(xiàn)、披露及修復(fù)，而且大多能夠搶在黑客團伙實際利用之前。而Project Zero主要關(guān)注由黑客團伙首先發(fā)現(xiàn)并利用的漏洞，也就是軟件廠商需要盡快修復(fù)的“零日漏洞”。

Stone對2021年零日漏洞案例發(fā)現(xiàn)總量上升給出了解釋。從好的一面來說，數(shù)字增長能是由于對零日漏洞的檢測和披露增加，而不是對它們的使用增加。

壞的一面來看，“惡意黑客采取的手段跟前幾年其實沒有太大變化”“他們?nèi)阅芤揽肯嗤穆┒茨Ｊ脚c利用技術(shù)，在同樣的攻擊面上順利得手?！?

致力提高零日漏洞利用門檻

Project Zero已經(jīng)將這些零日漏洞信息公布在一份公開電子表格中。項目小組在發(fā)布前已經(jīng)向各軟件廠商提交了漏洞信息，保證他們能夠有時間發(fā)布修復(fù)補丁或安全更新。他們的使命是“提高零日漏洞的利用門檻。”Stone表示，“總的來說，只要讓惡意黑客無法通過公開的方法或手段利用零日漏洞，就算實現(xiàn)了拔高門檻的目標。”

Project Zero整理出的這份表格，僅包含那些被軟件廠商或獨立研究員成功檢出并披露的漏洞。Stone說，“我們永遠無法確切了解，這些已被公開發(fā)現(xiàn)并披露的漏洞，在全部零日漏洞中到底占多大比例。”

對零日漏洞的利用往往會帶來嚴重的破壞性后果，多年來一直是網(wǎng)絡(luò)安全領(lǐng)域一股令人不安的恐懼之源。比如2021年9月，公民實驗室曾發(fā)布調(diào)查報告，披露以色列監(jiān)控廠商NSO Group采購零日漏洞內(nèi)置在間諜軟件產(chǎn)品中，這款產(chǎn)品廣受各國政府青睞，還被用于監(jiān)控記者及社會活動家。

Project Zero研究人員在2021年12月披露，NSO Group的這款間諜軟件（公民實驗室命名為FORCEDENTRY）是他們見到過的“技術(shù)復(fù)雜度最高的攻擊之一”，其水平之高超，完全能與“少數(shù)幾個民族國家支持的黑客攻擊”相媲美。

Stone還表示，從技術(shù)角度來看，Project Zero在2021年發(fā)現(xiàn)并披露的58個零日漏洞中，F(xiàn)ORCEDENTRY屬于僅有的2個“非常新穎”的案例，其余56個基本屬于“以往已公開漏洞的翻版”。

Stone認為，這種趨勢“對科技行業(yè)來說是個好消息”，意味著軟件廠商發(fā)現(xiàn)的大部分新漏洞，跟之前記錄在案的漏洞區(qū)別不大，相對容易解決。

越來越多軟件廠商開始主動檢出并公布自家產(chǎn)品中的零日漏洞。過去一年內(nèi)，谷歌發(fā)現(xiàn)了7個零日漏洞，微軟則發(fā)現(xiàn)了10個。

Project Zero團隊希望，2022年能有更多廠商通過安全公告披露漏洞的在野利用情況，并廣泛共享漏洞利用示例或詳細技術(shù)描述。

從技術(shù)角度出發(fā)，Project Zero團隊希望更多研究人員和安全專家，能專注減少甚至消除內(nèi)存破壞漏洞。一旦出現(xiàn)此類漏洞，軟件往往會在使用計算機內(nèi)存時，無意間引發(fā)異常行為或?qū)е卤罎ⅰ?