新闻中心 > 新闻详情

内存安全周报第88期 | 谷歌Project Zero团队发现2021年0day漏洞创新高

2022 年 4 月 24 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

谷歌Project Zero团队发现2021年0day漏洞数量创新高(4.20)

谷歌Project Zero 团队2021年发现并披露了58个0day漏洞,创下历史新高,而2020年仅发现25个0day漏洞。

详细情况

谷歌Project Zero安全研究员Maddie Stone称,“2021年在野0day的大幅增加的原因是对0day漏洞的检测和披露增加,而不仅是0day漏洞使用增加。”他还表示,发现的0day漏洞中攻击者使用的是相同的漏洞模式和利用技术,对准相同的攻击面。Project Zero团队称,发现的漏洞利用与之前公开的已知漏洞类似,只有两个在技术成熟度和使用逻辑漏洞逃避沙箱方面有明显不同。

漏洞数量表

对这58个漏洞进行平台分析后发现,大部分的漏洞来自Chromium(14个),其次是Windows(10个),Android(7个),WebKit/ Safari(7个),Microsoft Exchange Server(5个),iOS/macOS(5个),以及Internet Explorer(4个)。而从漏洞类型上来看,39个是内存破坏漏洞,其中包括释放后使用漏洞17个、越界读写漏洞6个、缓冲区溢出漏洞4个和整数溢出漏洞4个。

值得注意的是,来自Chromium的14个漏洞中13个都是内存破坏型漏洞,而这13个内存破坏型漏洞中大部分都是释放后使用问题。

此外,谷歌Project Zero还指出,针对WhatsApp、Signal和Telegram等即时通讯服务以及CPU核心、Wi-Fi芯片和云等其他组件中0day漏洞的利用缺少公开例证。

“这就引出了一个问题,缺少例证是由于检测不足还是披露不足,还是两者兼而有之?”Stone补充表示,“等到有一天攻击者不能再使用已公开的方法和技术利用0day漏洞,而是在我们发现他们的攻击后只能从头再来时,0day攻击将变得困难。”

参考链接

https://thehackernews.com/2022/04/google-project-zero-detects-record.html

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24