建设网站有几种渠道,德州网站建设费用,免费 空间 网站 国外,南京著名网站制作近日#xff0c;谷歌发布了年度零日漏洞报告#xff0c;展示了 2022 年的野外漏洞统计数据#xff0c;并强调了 Android 平台中长期存在的问题#xff0c;该问题在很长一段时间内提高了已披露漏洞的价值和使用。
更具体地说#xff0c;谷歌的报告强调了安卓系统中的 谷歌发布了年度零日漏洞报告展示了 2022 年的野外漏洞统计数据并强调了 Android 平台中长期存在的问题该问题在很长一段时间内提高了已披露漏洞的价值和使用。
更具体地说谷歌的报告强调了安卓系统中的 N-days 问题该问题源于安卓生态系统的复杂性涉及上游供应商谷歌和下游制造商手机制造商之间的多个环节。致使不同设备型号之间的安全更新时间存在重大差异即对于威胁行为者来说N-days 就是 0-days。
“0-day漏洞”又称零日漏洞通常就是指还没有补丁的安全漏洞也就是已经被少数人发现的但还没被传播开来官方还未修复的漏洞。 当“0-day漏洞”被发现并公开后没有补丁的一段时间内通常时间会很短根据习惯这个漏洞会被称为1-day漏洞。当厂商提供了修复补丁但是漏洞仍然还在被利用时我们一般会称呼这个漏洞为N-day漏洞。
谷歌在报告中表示尽管谷歌或其他厂商已经提供了补丁但攻击者仍可以利用该漏洞。因为即使谷歌或其他厂商修复了漏洞但下游的设备制造商仍需要几个月的时间才能在自己的安卓版本中推出。
因此上游厂商和下游厂商之间补丁的间隔使得N-days公开已知的漏洞可以像0-days一样因为用户无法随时获得补丁他们唯一的办法就是停止使用设备。
N-days 与 0-days 同样危险
2022 年诸如此类的问题对安卓系统造成了很大的影响其中最著名的是 CVE-2022-38181这是 ARM Mali GPU 中的一个漏洞。该漏洞于 2022 年 7 月报告给安卓安全团队被认定为 无法修复2022 年 10 月被 ARM 修补最后被纳入安卓 2023 年 4 月的安全更新中。
2022 年 11 月即 ARM 发布修补程序一个月后该漏洞在野外被发现。
直到 2023 年 4 月Android 安全更新推送修复程序时对该漏洞的利用仍有增无减这距离 ARM 解决该安全问题足足过去了 6 个月。
CVE-2022-3038Chrome 105 中的沙箱逃逸漏洞该漏洞已于 2022 年 6 月得到修补但基于早期 Chrome 版本的供应商浏览器如三星的 互联网浏览器仍未得到解决。
CVE-2022-22706ARM Mali GPU 内核驱动程序中的漏洞供应商已于 2022 年 1 月修补了该漏洞。
这两个漏洞于 2022 年 12 月被发现利用是三星安卓设备感染间谍软件的攻击链的一部分。
三星于 2023 年 5 月发布了针对 CVE-2022-22706 的安全更新而安卓安全更新则在 2023 年 6 月的安全更新中采用了 ARM 的修复程序延迟时间长达 17 个月之久。
即使谷歌发布了安卓安全更新设备供应商也需要长达三个月的时间才能为支持的机型提供修补程序这就给攻击者提供了针对特定设备攻击的机会。
这种补丁间隙实际上使 N-day 与 0-day 具有同等威胁威胁者可以在未打补丁的设备上利用 N-day。相比于0日漏洞N-day可能威胁会更大因为其技术细节已经公布可能还有概念验证PoC漏洞使威胁者更容易滥用它们。
好消息是谷歌 2022 年的活动总结显示零日漏洞与 2021 年相比有所下降发现了 41 个而浏览器类别的下降幅度最大发现了 15 个漏洞2021 年为 26 个。
另一个值得注意的发现是在 2022 年发现的零日漏洞中有 40% 以上是以前报告过的漏洞的变种因为绕过已知漏洞的修复程序通常比找到一个新型零日漏洞要容易得多。
