文章圖片
這就是為什么在2021年Chrome和其他瀏覽器有這么多零日漏洞利用的原因 。2021年是Chrome中零日漏洞數量的創紀錄的一年 , 攻擊者在Google知道之前就利用了這些漏洞 。 谷歌在與攻擊者的競爭中輸了嗎?
根據Google Project Zero的零日跟蹤器 , 去年有25個瀏覽器零日補丁 , 其中14個用于Chrome , 6個用于Safari的WebKit引擎 , 4個用于Internet Explorer 。 到2020年 , 只有14個瀏覽器零日漏洞 , 其中一半以上在Chrome中 。 但根據跟蹤器的數據 , 在2015年至2018年期間 , 沒有Chrome零日漏洞利用 。Chrome安全團隊的技術項目經理阿德里安·泰勒(Adrian Taylor)在一篇博客文章中表示 , 瀏覽器零日數的增加\"最初可能看起來令人擔憂\" , 并且\"可能指向一個令人擔憂的趨勢\" 。 但他認為這可能是一件好事 , 因為這意味著更多的零日日被捕獲和修復 。
換句話說 , 解釋零日數據的趨勢是很困難的——比如2015年至2018年之間沒有零日的數據——因為它只包括那些現在已經知道并希望修復的趨勢 。 那里可能還有更多未被發現 。
\"我們不相信在2015年至2018年期間沒有利用基于Chromium的瀏覽器 , \"Taylor指出 。
\"我們認識到 , 我們沒有完全了解積極的剝削 , 僅僅因為我們在那些年里沒有發現任何零日 , 并不意味著剝削沒有發生 。 可用的開發數據受到抽樣偏差的影響 。
這類似于谷歌威脅分析小組(TAG)去年得出的關于零日的結論:\"在野外使用的0天數與在野外被檢測和披露的0天數之間沒有一對一的關系 。
盡管如此 , 2021年還是發現了很多零日漏洞 。 泰勒為此提供了四個原因 。 首先 , 今天的瀏覽器制造商對野外被利用的錯誤比過去更加透明 。 Google Project Zero -在公開披露錯誤之前給供應商90天的時間來修復它 - 幫助主要軟件供應商規范了這種行為 。
另一個因素是Adobe Flash Player桌面瀏覽器插件的消亡 , 該插件曾經是2015年和2016年攻擊者的首要目標 , 但瀏覽器制造商和Adobe于2020年12月31日放棄了對它的支持 。
\"隨著Flash不再可用 , 攻擊者不得不切換到一個更難的目標:瀏覽器本身 , \"泰勒寫道 。
最重要的是Brave , Opera , Vivaldi等使用的開源Chromium的普及 。 雖然Edge不像Chrome那樣受歡迎 , 但它確實隨Windows 10和Windows 11一起提供 。
\"攻擊者會去尋找最受歡迎的目標 。 在2020年初 , Edge轉向使用Chromium渲染引擎 。 如果攻擊者可以在Chromium中找到錯誤 , 他們現在可以攻擊更大比例的用戶 , \"Taylor認為 。然而 , 瀏覽器零日明顯上升的另一個原因是 , 由于努力加強瀏覽器 , 例如Chrome的網站隔離 , 攻擊者需要將多個錯誤鏈接在一起才能實際利用瀏覽器 。 因此 , 攻擊者需要更多的彈藥才能達到相同的效果 。
\"對于完全相同水平的攻擊者成功 , 隨著時間的推移 , 我們會看到更多的野外錯誤報告 , 因為我們增加了攻擊者需要繞過的更多防御層 , \"他指出 。
最后 , 瀏覽器軟件是巨大的 , 現在幾乎和操作系統一樣復雜 。
【瀏覽器|谷歌:我們正在發現更多的Chrome瀏覽器零日漏洞】\"更復雜意味著更多的錯誤 , \"泰勒評論道 。
他還指出了Project Zero最近發表的關于軟件供應商修補缺陷的速度的研究 。 Chrome的修補和發布速度比WebKit和Firefox快 。
相關經驗推薦
- 相機|A7M4與R6怎么選,來看一看我們的對比
- 三星|三星嘲諷蘋果在學三星:Ultra?綠色?我們真是受寵若驚!
- Google|華為鴻蒙OS的生態補齊短板,自研的地圖與搜索與谷歌分庭抗禮
- |俄羅斯受到的各種制裁,提前讓我們見識了歐美的各種無恥,也讓我們有所準備!
- 硬盤|你知道機械硬盤的優勢是什么嗎?
- Google|俄羅斯安卓用戶慘了,谷歌對俄區應用商店下手,游戲應用無法內購
- 中間件|一些低代碼應用程序開發陷阱以及我們該如何避免他們(一)
- 蘋果|荷蘭、韓國相繼宣布,蘋果的蘋果稅黃了,網友:那我們呢?
- iPhone|蘋果13系列,當下旗艦機型,到底哪款更值得我們入手?
- 蘋果|蘋果的3米數據線“僅”1169元?很多網友說:這樣很好,從不坑我們窮人