分析显示,今年迄今为止,18个安全漏洞被用作未修复的零日漏洞,其中一半是可预防的。
根据谷歌的零日计划,其中九个问题只是以前修正的错误的变异。其中四个是2021年前零日误差的变量。由于这些与先前看到的安全漏洞密切相关,因此它在理论上打破了一个漏洞,就是说,零天脆弱性攻击是如此的先进,因此防守者不能期望能抓住他们。
2022年的零天脆弱性影响到广泛的平台,包括Apple iOS,Atlassian Confluence,Chrome,Google Pixel,Linux,WebKit,当然还有Windows(包括Follina和PetitPotam。
著名网络安全专家莫里瓦(Guo Moriwa)表示:“在某些情况下(Windows win32k和Chromium)。修复了概念验证攻击路径,但没有纠正根本原因,因此,攻击者可以通过不同的路径触发原始漏洞。在其他情况下,例如,PetitPotam,原来的漏洞已经修复,但“到某个时候,它就会退化,允许攻击者重用同样的脆弱性。
我们的目标是每当我们发现他们的弱点时,迫使攻击者从头开始:他们被迫发现一个新的脆弱性,他们必须花时间学习和分析新的攻击,他们必须发展一种新的提取方法,为了 有效 实现 这 一点,我们需要正确的和全面的修理。 (欢迎转载分享)