上周,Chrome Security 團隊的 Adrian Taylor,在一篇谷歌安全博客文章中解釋了“為何在野外被利用的 CVE 漏洞似乎有所增加”。對於這種漏洞利用的可見性增長趨勢,歸咎於多個方面的因素。而谷歌旗下的 Project Zero 團隊,也有對包括 WebKit、IE、Flash、Firefox 和 Chrome 在內的所有已識別的瀏覽器零日漏洞展開追蹤。
(來自:Google Security Blog)
從 2019 到 2021 年,Chrome 上的這些漏洞利用增勢非常明顯。但在 2015 到 2018 年,Chrome 卻沒有記錄到零日漏洞。
Chrome Security 團隊解釋稱,雖然這並不意味着完全沒有針對 Chromium 內核的瀏覽器漏洞利用,但由於缺乏完整的歸納試圖,可用數據或存在抽樣偏差。
那為何大家還是感覺漏洞變多了呢?Chrome Security 將之歸結於四個可能的原因 ——(1)供應商透明度、(2)攻擊者焦點的演變、(3)站點隔離項目的完工、以及(4)軟件錯誤的複雜性。
● 首先,許多瀏覽器廠商都在一改往日的做法,主動通過各自的渠道來披露此類漏洞利用的詳情。
● 其次,攻擊者的關注點發生了轉移。隨着 Microsoft Edge 於 2020 年初切換至 Chromium 渲染引擎,攻擊者也自然地盯上了更廣泛的受眾群體。
● 第三,錯誤的增加,或源於最近完成的持續多年的站點隔離項目 —— 其使得一個 bug 的出現,不至於對全局造成過大的傷害。
● 第四,基於軟件存在 bug 這一簡單事實,我們必須承認其中有一小部分可被攻擊者拿來利用。隨着瀏覽器與操作系統變得日益複雜,更多的錯誤也是難以避免。
零日漏洞趨勢
綜上所述,漏洞數量已不再和安全風險直接畫等號。即便如此,Chrome 團隊仍保證他們會在發布前,努力檢測並修復錯誤。
在利用已知漏洞的 n-day 攻擊方面,其“補丁空窗期”已顯著減少(Chrome 為 35 天 / 平均 76~18 天)。此外為了防患於未然,Chrome 團隊還在努力讓攻擊變得更加複雜和代價高昂。
在具體正在實施的改進中,包括了不斷增強的站點隔離,尤其是針對 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 項目、內存安全編程語言等新組件,以及被野外利用后的緩解措施等。
最後,對於普通用戶來說,最簡單的應對方法,就是在看到 Chrome 更新提醒的第一時間執行操作。