谷歌的安全研究人员将2020年称为零日漏洞利用年,因为去年发现并修复了许多漏洞。
在一项年度回顾中,研究人员分享说,尽管距离野外零日漏洞利用尚有很长的路要走,但令人惊讶的是,其中有四分之一源自先前披露的漏洞,可以很容易地加以预防。
Google零项目团队的安全研究员Maddie Stone写道:“如果进行更彻底的调查和修补工作,则有可能避免每4个检测到的0天漏洞利用中的1个。”
骗我两次
根据斯通的说法,去年“零计划”发掘了24种零日漏洞,并在野外积极使用。
在她的帖子中,她细分了六个漏洞,以揭示它们与先前披露的漏洞的关系。她写道:“这些零日漏洞利用程序中的某些只需要更改一行或两行代码即可拥有一个新的有效的零日漏洞利用程序。”
当她分解了团队在Chrome,Firefox,Internet Explorer,Safari和Windows中发现的六个漏洞时,Stone指出这些漏洞是错误修复的结果。令人惊讶的是,她的分析还显示,到2020年修补的三个漏洞再次“要么未正确修复,要么未全面修复”。
Stone要求供应商做出所有投资,以发布涵盖其所有变体的漏洞的正确而全面的补丁:“很多时候,我们看到供应商仅阻止概念验证或利用示例中显示的路径,而而不是整体修复该漏洞,因为这会阻塞所有路径。”
Stone还给安全研究人员增加了负担,他们应该在跟踪和测试补丁方面做得更好。
她建议说:“我们真的很想在发行补丁之前与供应商就补丁和缓解措施进行更紧密的合作,”她补充说,“在补丁设计和实施过程中尽早进行协作并提供反馈对每个人都是有益的。研究人员和供应商都可以通过合作来节省时间,资源和能源,而不是在发行后修补二进制文件的差异,并且意识到该漏洞并未完全修复。”