安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

谷歌Project Zero团队发现2021年0day漏洞数量创新高（4.20）

谷歌Project Zero 团队2021年发现并披露了58个0day漏洞，创下历史新高，而2020年仅发现25个0day漏洞。

详细情况

谷歌Project Zero安全研究员Maddie Stone称，“2021年在野0day的大幅增加的原因是对0day漏洞的检测和披露增加，而不仅是0day漏洞使用增加。”他还表示，发现的0day漏洞中攻击者使用的是相同的漏洞模式和利用技术，对准相同的攻击面。Project Zero团队称，发现的漏洞利用与之前公开的已知漏洞类似，只有两个在技术成熟度和使用逻辑漏洞逃避沙箱方面有明显不同。

对这58个漏洞进行平台分析后发现，大部分的漏洞来自Chromium(14个)，其次是Windows(10个)，Android(7个)，WebKit/ Safari(7个)，Microsoft Exchange Server(5个)，iOS/macOS(5个)，以及Internet Explorer(4个)。而从漏洞类型上来看，39个是内存破坏漏洞，其中包括释放后使用漏洞17个、越界读写漏洞6个、缓冲区溢出漏洞4个和整数溢出漏洞4个。

值得注意的是，来自Chromium的14个漏洞中13个都是内存破坏型漏洞，而这13个内存破坏型漏洞中大部分都是释放后使用问题。

此外，谷歌Project Zero还指出，针对WhatsApp、Signal和Telegram等即时通讯服务以及CPU核心、Wi-Fi芯片和云等其他组件中0day漏洞的利用缺少公开例证。

“这就引出了一个问题，缺少例证是由于检测不足还是披露不足，还是两者兼而有之？”Stone补充表示，“等到有一天攻击者不能再使用已公开的方法和技术利用0day漏洞，而是在我们发现他们的攻击后只能从头再来时，0day攻击将变得困难。”

参考链接

https://thehackernews.com/2022/04/google-project-zero-detects-record.html