谷歌解释野蛮生长的漏洞增多
更新时间:2022-03-16 11:36:11 浏览次数:900+次在最近的Chrome博客中,”CVE-1234-567的漏洞存在于野外 “这句话似乎越来越多。对于大多数Chrome用户来说,这可以理解为是一种警示。然而,虽然漏洞的增加可能确实令人担忧,但Chrome Security解释说,这一趋势也可能表明对漏洞的可见度增加。那么,是哪种情况呢?
Chrome Security的Adrian Taylor在博客中表示,这一趋势可能是由这两个原因造成的,以澄清这方面的一些误解。
零点计划 “追踪了所有已确认的浏览器野战零日漏洞,包括WebKit、Internet Explorer、Flash、Firefox和Chrome。
从2019年到2021年,Chrome浏览器中这些漏洞的增加是相当明显的。相反,从2015年到2018年,Chrome浏览器中没有记录的零日漏洞。Chrome Security澄清说,这可能并不意味着在这些年里,基于Chromium的浏览器完全 “没有 “利用。它承认对活跃的利用没有完整的看法,现有数据可能有抽样偏差。
那么,为什么现在会有大量的漏洞呢?Chrome Security将此归结为四个可能的原因:供应商的透明度,攻击者的关注点的演变,网站隔离项目的完成,以及与软件错误的复杂性有关。
首先,许多浏览器制造商现在通过他们的发布通讯公布了这类漏洞的细节。这不是过去的做法,在过去,浏览器制造商即使意识到了这一点,也不会宣布一个错误正在被攻击。
第二,攻击者的关注点有了演变。在2020年初,Edge改用Chromium渲染引擎。自然,攻击者会去找最受欢迎的目标,因为这样,他们可以攻击更多的用户。
第三,错误的增加可能是由于最近完成了多年的网站隔离项目,使得一个错误几乎不足以造成很大的伤害。因此,过去只需要一个bug的攻击现在需要更多。在2015年之前,多个网页只在一个渲染器进程中,使得只用一个bug就可以从其他网页上窃取用户的数据。有了网站隔离项目,追踪者需要连锁两个bug或更多的bug来破坏渲染器进程,并跃入Chrome浏览器进程或操作系统中。
最后,这可能是由于一个简单的事实,即软件确实有bug,而其中的一小部分可以被利用。浏览器反映了操作系统的复杂性,而高复杂性相当于更多的bug。
这些事情意味着,被利用的bug数量并不是安全风险的确切衡量标准。然而,Chrome团队保证,他们正在努力工作,在发布前检测和修复漏洞。就N天攻击(对已经修复的漏洞的利用)而言,他们的 “补丁间隙 “已经明显减少,从Chrome浏览器的35天(平均76天到18天)。他们还期待着进一步减少这种情况。
尽管如此,Chrome浏览器认识到,无论他们以何种速度试图修复野蛮的剥削,这些攻击都是糟糕的。因此,他们正在非常努力地使攻击对敌人来说变得昂贵和复杂。Chrome浏览器正在进行的具体项目包括不断加强网站隔离,特别是针对安卓的网站隔离,V8堆沙箱、MiraclePtr和扫描项目,在编写新的Chrome浏览器部件时采用内存安全语言,以及漏洞后的缓解措施。
Chrome正在努力通过这些主要的安全工程项目来确保安全。不过,用户可以做一些直接的帮助。如果Chrome浏览器提醒你更新,那就去做吧。