Google Project Zero 在 2022 年上半年共觀察到 18 個(gè)被利用的零日漏洞，其中至少有一半存在，因?yàn)橹暗穆┒礇]有得到妥善解決。

根據(jù) Google Project Zero 研究員 Maddie Stone 的說法，如果組織應(yīng)用更全面的修補(bǔ)程序，今年迄今為止出現(xiàn)的九個(gè)瘋狂的零日漏洞本可以避免。

“最重要的是，2022 年的零日中有四個(gè)是 2021 年的野生零日的變體。距離最初的野生零日被修補(bǔ)僅 12 個(gè)月，攻擊者又帶著原始漏洞的變體回來了，”斯通說。

這些問題中最近的一個(gè)是 Windows 平臺(tái)中的Follina漏洞。跟蹤為 CVE-2022-30190，它是一個(gè)MSHTML 零日漏洞的變體，跟蹤為 CVE-2021-40444。

CVE-2022-21882是另一個(gè) Windows 漏洞，它是去年未正確解決的野生零日漏洞的變體，即CVE-2021-1732。

iOS IOMobileFrameBuffer 錯(cuò)誤 ( CVE-2022-22587 ) 和 Chrome V8 引擎中的類型混淆缺陷 ( CVE-2022-1096 ) 是去年發(fā)現(xiàn)的另外兩個(gè)零日漏洞 - CVE-2021-30983和分別為CVE-2021-30551。

其他 2022 零日漏洞是未正確解決的安全缺陷的變體，包括CVE-2022-1364 (Chrome)、CVE-2022-22620 (WebKit)、CVE-2021-39793 (Google Pixel)、CVE-2022-26134 (Atlassian Confluence ) 和CVE-2022-26925（稱為 PetitPotam 的 Windows 缺陷）。

“在 Windows win32k [CVE-2022-21882] 和 Chromium 屬性訪問攔截器 [CVE-2022-1096] 漏洞的情況下，概念驗(yàn)證漏洞利用的執(zhí)行流程已被修補(bǔ)，但根本原因問題沒有得到解決：攻擊者能夠回來并通過不同的路徑觸發(fā)原始漏洞，”斯通解釋說。

WebKit 和 PetitPotam 問題之所以出現(xiàn)，是因?yàn)楸M管最初的漏洞已經(jīng)得到解決，但它們?cè)谀硞€(gè)時(shí)候已經(jīng)退化，這使得攻擊者可以再次利用相同的漏洞。

“當(dāng)在野外檢測(cè)到 0-day 漏洞時(shí)，這就是攻擊者的失敗案例。這是我們安全維護(hù)者的一份禮物，讓我們盡可能多地學(xué)習(xí)并采取行動(dòng)確保該向量不能再次使用，”斯通指出。

確保正確和全面修復(fù)漏洞的建議包括分析其根本原因及其引入方式，分析與當(dāng)前安全問題相似的漏洞，以及分析所采用的漏洞利用技術(shù)和補(bǔ)丁。

“透明地分享這些分析也有助于整個(gè)行業(yè)。這使開發(fā)人員和安全專業(yè)人員能夠更好地了解攻擊者對(duì)這些漏洞的了解，從而有望帶來更好的解決方案和整體安全性，”Stone 總結(jié)道。