Google|谷歌解释野外攻击为何增加浏览器安全形势在稳中向好谷歌解释野外攻击为何增加|浏

上周， Chrome Security 团队的 Adrian Taylor ，在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加” 。对于这种漏洞利用的可见性增长趋势，归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队，也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。

文章图片

（来自：Google Security Blog）
从 2019 到 2021 年， Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年， Chrome 却没有记录到零日漏洞。
Chrome Security 团队解释称，虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用，但由于缺乏完整的归纳试图，可用数据或存在抽样偏差。
那为何大家还是感觉漏洞变多了呢？Chrome Security 将之归结于四个可能的原因 ——（1）供应商透明度、（2）攻击者焦点的演变、（3）站点隔离项目的完工、以及（4）软件错误的复杂性。

● 首先，许多浏览器厂商都在一改往日的做法，主动通过各自的渠道来披露此类漏洞利用的详情。
● 其次，攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎，攻击者也自然地盯上了更广泛的受众群体。
● 第三，错误的增加，或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现，不至于对全局造成过大的伤害。
● 第四，基于软件存在 bug 这一简单事实，我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂，更多的错误也是难以避免。

文章图片

零日漏洞趋势
综上所述，漏洞数量已不再和安全风险直接画等号。即便如此， Chrome 团队仍保证他们会在发布前，努力检测并修复错误。
在利用已知漏洞的 n-day 攻击方面，其“补丁空窗期”已显著减少（Chrome 为 35 天 / 平均 76~18 天）。此外为了防患于未然， Chrome 团队还在努力让攻击变得更加复杂和代价高昂。
在具体正在实施的改进中，包括了不断增强的站点隔离，尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件，以及被野外利用后的缓解措施等。
【Google|谷歌解释野外攻击为何增加浏览器安全形势在稳中向好】最后，对于普通用户来说，最简单的应对方法，就是在看到 Chrome 更新提醒的第一时间执行操作。