谷歌Project Zero报告揭露2021年0-day漏洞利用全球趋势
发布时间:2022-04-29 10:17:36 所属栏目:安全 来源:互联网
导读:Project Zero是一项由谷歌成立的互联网安全项目,成立时间为2014年7月。该团队主要由谷歌内部顶尖安全工程师组成,旨在发现、追踪和修补全球性的软件安全漏洞。自2019起,团队每年会对过去一年内检测到的0-day漏洞在野利用进行回顾并发布报告。2021年内,Pro
|
“Project Zero”是一项由谷歌成立的互联网安全项目,成立时间为2014年7月。该团队主要由谷歌内部顶尖安全工程师组成,旨在发现、追踪和修补全球性的软件安全漏洞。自2019起,团队每年会对过去一年内检测到的0-day漏洞在野利用进行回顾并发布报告。2021年内,“Project Zero”共检测并披露了58个在野外的0-day漏洞,这一数字创下了项目2014年成立以来的新纪录。本篇报告中,“Project Zero”团队详细向我们介绍了被检测到的58个0-day漏洞的类型和攻击模式,并分析了2021年0-day数据暴增的原因。另外,在报告中,我们也可以清晰地看到团队在2022年的工作方向。 以下是报告正文: 这是我们自2019年起连续第三年对0-day漏洞的在野利用进行回顾。 每一年,我们都会回顾这一年内在野外发现和披露的所有0-day漏洞,并对其进行综合考量。本报告的目的并不是对每个漏洞进行分析,而是将一年来的漏洞作为一个整体进行分析,寻找趋势、差距、经验教训和成功的防护案例。 我们撰写并分享这份报告是希望增加0-day漏洞利用的难度。我们希望0-day利用的成本不断增加,当披露和防护的资源更集中,攻击者自然更难对其加以利用。 我们将在正文中展示完整的论证过程,然后在结论中总结我们对未来的展望与操作方法。如果你并不喜欢深入挖掘细节,那就看看执行摘要和结论吧。 因此,虽然我们看到业界在检测和披露0-day漏洞方面取得了进步,但也必须承认还有很多工作有待改进。 2021年,我们拥有比过去更多的数据点来了解攻击者的行为。 然而,这些数据也给我们带来了比以前更多的问题。 不幸的是,积极使用 0-day漏洞攻击的攻击者不会分享他们的“先进经验”,也不会分享我们在追踪中遗漏的0-day漏洞的百分比,因此我们永远无法确切知道目前有多少0-day漏洞被发现并被公开披露。 基于我们对2021年0-day的分析,我们希望在2022年看到以下进展,以便继续采取措施,努力实现目标: 所有供应商都同意在其安全公告中披露漏洞的在野利用状况。 漏洞利用样本或漏洞利用的详细技术描述被更广泛地共享。 继续协同努力减少内存损坏漏洞或使其无法利用。启动将显著影响内存破坏漏洞可利用性的缓解措施。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号