文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

谷歌研究称:2022 年的零日漏洞有一半是先前漏洞的变种

2024-12-01 19:03

关注

根据 Google Project Zero 研究员 Maddie Stone 的说法,如果组织应用更全面的修补程序,今年迄今为止出现的九个疯狂的零日漏洞本可以避免。

“最重要的是,2022 年的零日中有四个是 2021 年的野生零日的变体。距离最初的野生零日被修补仅 12 个月,攻击者又带着原始漏洞的变体回来了,”斯通说。

这些问题中最近的一个是 Windows 平台中的Follina漏洞。跟踪为 CVE-2022-30190,它是一个MSHTML 零日漏洞的变体,跟踪为 CVE-2021-40444。

CVE-2022-21882是另一个 Windows 漏洞,它是去年未正确解决的野生零日漏洞的变体,即CVE-2021-1732。

iOS IOMobileFrameBuffer 错误 ( CVE-2022-22587 ) 和 Chrome V8 引擎中的类型混淆缺陷 ( CVE-2022-1096 ) 是去年发现的另外两个零日漏洞 - CVE-2021-30983和分别为CVE-2021-30551。

其他 2022 零日漏洞是未正确解决的安全缺陷的变体,包括CVE-2022-1364 (Chrome)、CVE-2022-22620 (WebKit)、CVE-2021-39793 (Google Pixel)、CVE-2022-26134 (Atlassian Confluence ) 和CVE-2022-26925(称为 PetitPotam 的 Windows 缺陷)。

“在 Windows win32k [CVE-2022-21882] 和 Chromium 属性访问拦截器 [CVE-2022-1096] 漏洞的情况下,概念验证漏洞利用的执行流程已被修补,但根本原因问题没有得到解决:攻击者能够回来并通过不同的路径触发原始漏洞,”斯通解释说。

WebKit 和 PetitPotam 问题之所以出现,是因为尽管最初的漏洞已经得到解决,但它们在某个时候已经退化,这使得攻击者可以再次利用相同的漏洞。

“当在野外检测到 0-day 漏洞时,这就是攻击者的失败案例。这是我们安全维护者的一份礼物,让我们尽可能多地学习并采取行动确保该向量不能再次使用,”斯通指出。

确保正确和全面修复漏洞的建议包括分析其根本原因及其引入方式,分析与当前安全问题相似的漏洞,以及分析所采用的漏洞利用技术和补丁。

“透明地分享这些分析也有助于整个行业。这使开发人员和安全专业人员能够更好地了解攻击者对这些漏洞的了解,从而有望带来更好的解决方案和整体安全性,”Stone 总结道。

来源:祺印说信安内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯