2022年零日漏洞以旧漏洞变种为主导
2022年零日安全漏洞报告
关键要点
2022年发现的18个零日安全漏洞中,有50被谷歌Project Zero的研究人员确认是先前漏洞的变种。四个2022年的零日漏洞来源于2021年已知的漏洞。主要漏洞包括Follina缺陷 (CVE202230190)、Windows win32k缺陷 (CVE202221882) 和 Chrome V8引擎 (CVE20221096)。根据SecurityWeek的报告,今年已有的18个零日安全漏洞中,50是由谷歌Project Zero的研究人员发现,它们实际上是以不当修复的旧漏洞为基础的变种。谷歌Project Zero的研究人员Maddie Stone指出:“此外,四个2022年的零日漏洞还是2021年现有漏洞的变种。从第一次被攻击的零日漏洞修复起,仅12个月后,攻击者再次利用原始漏洞的变种。”
其中的主要漏洞包括Follina缺陷,该缺陷被跟踪为CVE202230190,基于MSHTML零日漏洞CVE202140444。报告显示,Windows的win32k缺陷CVE202221882是CVE20211732的变种,而Chrome V8引擎的类型混淆漏洞CVE20221096则源自CVE202130551。根据Stone的说法,Windows win32k和Chrome的漏洞都是由已修补的概念验证漏洞造成的,但根本原因未得到解决。
加速器免费加速国外永久免费加速Stone表示:“当零日漏洞在野外被发现时,这对于攻击者来说是一个失败的案例。对于我们这些安全防护人员来说,能够尽可能多地学习,把握机会,并采取行动确保此类漏洞不再被利用,是一种礼物。”
