2022年迄今為止半數零日漏洞都是之前漏洞的變體

谷歌Project Zero研究人員Maddie Stone在博客文章中揭示，今年截至目前發現的野生零日漏洞中有九個本可以避免——如果組織應用了更加全面的漏洞修復……

“最重要的是，2022年發現的零日漏洞中有四個都是2021年野生零日漏洞的變體。原始零日漏洞修復后僅僅12個月，攻擊者就攜原始漏洞的變體卷土重來了。”Stone稱。

最近的一個例子就是Windows平臺中的Follina漏洞。該漏洞編號為CVE-2022-30190，是MSHTML零日漏洞CVE-2021-40444的變體。

去年未得到妥善修復的Windows野生零日漏洞CVE-2021-1732也衍生出了一個變體：CVE-2022-21882。

iOS IOMobileFrameBuffer漏洞CVE-2022-22587和Chrome V8引擎類型混淆漏洞CVE-2022-1096這兩個零日漏洞，分別是去年發現的可利用安全缺陷CVE-2021-30983和CVE-2021-30551的變體。

未妥善修復的安全缺陷在2022年形成的其他零日漏洞還包括：CVE-2022-1364（Chrome）、CVE-2022-22620（WebKit）、CVE-2021-39793（Google Pixel）、CVE-2022-26134（Atlassian Confluence）和CVE-2022-26925（名為PetitPotam的Windows缺陷）。

“Windows win32k漏洞（CVE-2022-21882）和Chromium屬性訪問攔截器漏洞（CVE-2022-1096）這兩個案例中，概念驗證漏洞利用程序所利用的執行缺陷得到了修復，但其根本原因并未解決：攻擊者能夠通過另一條路徑卷土重來，觸發原始漏洞。”Stone解釋稱。

WebKit和PetitPotam漏洞之所以出現，是因為原始漏洞雖已解決，但在某個時候又回退了，使得攻擊者能夠再次利用相同的漏洞。

“只要野生零日漏洞程序被發現，攻擊者即宣告任務失敗。但對我們安全維護者而言，這是一份禮物，讓我們能夠盡可能多地從中學習，采取行動確保該漏洞利用方法無法再次使用。”Stone指出。

想要確保正確且全面地修復漏洞，我們可以分析漏洞產生的根本原因及其引入方式，分析與手頭安全問題類似的漏洞，以及分析所用的漏洞利用技術和補丁。

“透明共享這些分析也有助于整個行業，可以幫助開發人員和安全人員更好地看清攻擊者對這些漏洞的掌握程度，有助于帶來更完善的解決方案和安全態勢。”Stone總結道。