谷歌的安全研究人員將2020年稱為零日漏洞利用年����,因?yàn)槿ツ臧l(fā)現(xiàn)并修復(fù)了許多漏洞��。
在一項(xiàng)年度回顧中,研究人員分享說���,盡管距離野外零日漏洞利用尚有很長(zhǎng)的路要走��,但令人驚訝的是��,其中有四分之一源自先前披露的漏洞����,可以很容易地加以預(yù)防��。
Google零項(xiàng)目團(tuán)隊(duì)的安全研究員Maddie Stone寫道:“如果進(jìn)行更徹底的調(diào)查和修補(bǔ)工作�,則有可能避免每4個(gè)檢測(cè)到的0天漏洞利用中的1個(gè)����!
騙我兩次
根據(jù)斯通的說法,去年“零計(jì)劃”發(fā)掘了24種零日漏洞��,并在野外積極使用。
在她的帖子中�,她細(xì)分了六個(gè)漏洞,以揭示它們與先前披露的漏洞的關(guān)系����。她寫道:“這些零日漏洞利用程序中的某些只需要更改一行或兩行代碼即可擁有一個(gè)新的有效的零日漏洞利用程序���!
當(dāng)她分解了團(tuán)隊(duì)在Chrome����,F(xiàn)irefox���,Internet Explorer�����,Safari和Windows中發(fā)現(xiàn)的六個(gè)漏洞時(shí),Stone指出這些漏洞是錯(cuò)誤修復(fù)的結(jié)果���。令人驚訝的是��,她的分析還顯示���,到2020年修補(bǔ)的三個(gè)漏洞再次“要么未正確修復(fù)����,要么未全面修復(fù)”��。
Stone要求供應(yīng)商做出所有投資�,以發(fā)布涵蓋其所有變體的漏洞的正確而全面的補(bǔ)丁:“很多時(shí)候�����,我們看到供應(yīng)商僅阻止概念驗(yàn)證或利用示例中顯示的路徑���,而而不是整體修復(fù)該漏洞�����,因?yàn)檫@會(huì)阻塞所有路徑���。”
Stone還給安全研究人員增加了負(fù)擔(dān)�����,他們應(yīng)該在跟蹤和測(cè)試補(bǔ)丁方面做得更好。
她建議說:“我們真的很想在發(fā)行補(bǔ)丁之前與供應(yīng)商就補(bǔ)丁和緩解措施進(jìn)行更緊密的合作��,”她補(bǔ)充說�����,“在補(bǔ)丁設(shè)計(jì)和實(shí)施過程中盡早進(jìn)行協(xié)作并提供反饋對(duì)每個(gè)人都是有益的����。研究人員和供應(yīng)商都可以通過合作來節(jié)省時(shí)間,資源和能源�,而不是在發(fā)行后修補(bǔ)二進(jìn)制文件的差異,并且意識(shí)到該漏洞并未完全修復(fù)�。”
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
