Google Zero项目(Project Zero)本周指出,去年全球出现58个零时差攻击程序,是该项目自2014年以来观察该趋势的最高记录。之前的记录是2015年的28个,2020年也才24个,但去年一下就窜升到了58个。
不过,Zero项目坦承,与其说他们发现了实际使用的零时差攻击程序,不如说他们所计算的是已经被侦测到且披露的零时差攻击程序,因此或许不一定是零时差攻击程序倍增,而是安全社群的侦测能力变好了。
该项目的研究人员Maddie Stone强调,该报告并不是为了要详细说明每一款攻击程序的细节,而是要分析这些年来零时差攻击程序的趋势,以提高黑客打造零时差攻击程序的难度。
例如在去年所发现的58款零时差攻击程序中,它们所开采的多是与过去类似的安全漏洞,而且使用已公开的方法及技术,其中只有两款具备新意,一款采用复杂的技术,另一款则利用逻辑bug自沙箱逃逸。当确认黑客都是使用已知技术,而非投入新技术的开发时,对安全社群而言就是个机会。
Zero项目也呼吁所有企业都应该要披露遭到开采的零时差漏洞,并分享攻击程序细节,同时继续减少经常被开采的内存毁损漏洞,或是部署缓解措施。
在去年所发现的58个遭到攻击的零时差漏洞中,便有高达39个属于内存毁损漏洞,17个为释放后使用漏洞,6个为越界读写漏洞,4个缓冲区溢出漏洞与4个整数溢出漏洞。
而这些零时差漏洞所涉及到的产品则包括:Chromium(14个)、Safari所使用的WebKit(7个)、IE(4个)、Windows(10个)、iOS/macOS(5个),Android(7个),Microsoft Exchange Server(5个),以及iMessage(1个),同时Google也列出了这些零时差漏洞攻击程序所锁定的安全漏洞与组件,以供安全社群参考。