谷歌报告了2021年大量跨行业的谷歌零日漏洞利用

2022-04-25 09:53:17从娅枝导读谷歌的零日项目团队是一个受雇于发现零日漏洞的安全分析师部门，最近发布了其2021年报告(通过AndroidPolice)。报告0-day漏洞是量跨程序开发人员未知或已发现但尚未修补的漏洞。2021年共检测和披露了58个零日漏洞，行业几乎是零洞利2020年发现的25个的两倍。这是日漏自零日项目开始追踪它们以来的一年内报告数量创纪录，早在2020年2014年。谷歌但是报告这个数字的原因是什么?是因为黑客在2

谷歌的零日项目团队是一个受雇于发现零日漏洞的安全分析师部门，最近发布了其2021年报告(通过AndroidPolice)。量跨0-day漏洞是行业程序开发人员未知或已发现但尚未修补的漏洞。2021年共检测和披露了58个零日漏洞，零洞利几乎是日漏2020年发现的25个的两倍。这是谷歌自零日项目开始追踪它们以来的一年内报告数量创纪录，早在2020年2014年。报告

但是量跨这个数字的原因是什么?是因为黑客在2021年变得更加大胆，发动了更多攻击吗?根据零日项目，这更有可能是由于微软、苹果和谷歌等公司增加了检测和披露，而不是零日漏洞利用的增加。ProjectZero表示，2021年极有可能出现超过58个零日漏洞，但供应商并未告知这些漏洞。因此，尽管公司确实在检测此类攻击方面做得越来越好，但这让我们想知道到底有多少被利用的漏洞发生了，我们是否会真正知道确切的数字?

在所有58个发现的漏洞中，只有两个是全新的——它们成功地让专家们惊叹不已。第一个是有史以来第一个公开的macOS零日漏洞，使用复杂的代码安装后门。第二个是ForcedEntry漏洞利用，用于通过发送到iMessage的无辜GIF注入恶意代码，在iPhone上分发Pegasushack。这两个后来都被苹果公司修补了。

其余的是已知但未修补的弱点的变体，其中67%是内存损坏漏洞的变体，一段时间以来，黑客一直将其用作攻击的起点。目前尚不清楚为什么这些问题尚未得到解决。修补它们可能太难或太昂贵，但也有可能这些漏洞不是供应商修复的优先事项。

零项目团队知道，0-day漏洞利用总是存在的。然而，它的使命是让黑客实际利用它们变得更加困难和占用更多资源。这就是为什么团队恳请所有开发人员集中精力加强已知内存损坏漏洞周围的区域，并在报告自己的零日发现时更加开放和透明。