搜索
查看: 1238|回复: 1
收起左侧

[IT业界] 谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好

[复制链接]
蓝天二号
发表于 2022-3-16 15:42:40 | 显示全部楼层 |阅读模式
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。
83ea8f267943755.png
从 2019 到 2021 年,Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年,Chrome 却没有记录到零日漏洞。

Chrome Security 团队解释称,虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用,但由于缺乏完整的归纳试图,可用数据或存在抽样偏差。

那为何大家还是感觉漏洞变多了呢?Chrome Security 将之归结于四个可能的原因 ——(1)供应商透明度、(2)攻击者焦点的演变、(3)站点隔离项目的完工、以及(4)软件错误的复杂性。
● 首先,许多浏览器厂商都在一改往日的做法,主动通过各自的渠道来披露此类漏洞利用的详情。

● 其次,攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎,攻击者也自然地盯上了更广泛的受众群体。

● 第三,错误的增加,或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现,不至于对全局造成过大的伤害。

● 第四,基于软件存在 bug 这一简单事实,我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂,更多的错误也是难以避免。


38ca58b282ece24.png
综上所述,漏洞数量已不再和安全风险直接画等号。即便如此,Chrome 团队仍保证他们会在发布前,努力检测并修复错误。

在利用已知漏洞的 n-day 攻击方面,其“补丁空窗期”已显著减少(Chrome 为 35 天 / 平均 76~18 天)。此外为了防患于未然,Chrome 团队还在努力让攻击变得更加复杂和代价高昂。

在具体正在实施的改进中,包括了不断增强的站点隔离,尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件,以及被野外利用后的缓解措施等。

最后,对于普通用户来说,最简单的应对方法,就是在看到 Chrome 更新提醒的第一时间执行操作。
cfdiyr
发表于 2022-3-17 05:13:27 | 显示全部楼层
这就是传说中的树立信心。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-7-6 17:38 , Processed in 0.131059 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表