这就是为什么在2021年Chrome和其他浏览器有这么多零日漏洞利用的原因。
2021年是Chrome中零日漏洞数量的创纪录的一年,攻击者在Google知道之前就利用了这些漏洞。谷歌在与攻击者的竞争中输了吗?
根据Google Project Zero的零日跟踪器,去年有25个浏览器零日补丁,其中14个用于Chrome,6个用于Safari的WebKit引擎,4个用于Internet Explorer。到2020年,只有14个浏览器零日漏洞,其中一半以上在Chrome中。但根据跟踪器的数据,在2015年至2018年期间,没有Chrome零日漏洞利用。
Chrome安全团队的技术项目经理阿德里安·泰勒(Adrian Taylor)在一篇博客文章中表示,浏览器零日数的增加"最初可能看起来令人担忧",并且"可能指向一个令人担忧的趋势"。但他认为这可能是一件好事,因为这意味着更多的零日日被捕获和修复。
换句话说,解释零日数据的趋势是很困难的——比如2015年至2018年之间没有零日的数据——因为它只包括那些现在已经知道并希望修复的趋势。那里可能还有更多未被发现。
"我们不相信在2015年至2018年期间没有利用基于Chromium的浏览器,"Taylor指出。
"我们认识到,我们没有完全了解积极的剥削,仅仅因为我们在那些年里没有发现任何零日,并不意味着剥削没有发生。可用的开发数据受到抽样偏差的影响。
这类似于谷歌威胁分析小组(TAG)去年得出的关于零日的结论:"在野外使用的0天数与在野外被检测和披露的0天数之间没有一对一的关系。
尽管如此,2021年还是发现了很多零日漏洞。泰勒为此提供了四个原因。首先,今天的浏览器制造商对野外被利用的错误比过去更加透明。Google Project Zero -在公开披露错误之前给供应商90天的时间来修复它 - 帮助主要软件供应商规范了这种行为。
另一个因素是Adobe Flash Player桌面浏览器插件的消亡,该插件曾经是2015年和2016年攻击者的首要目标,但浏览器制造商和Adobe于2020年12月31日放弃了对它的支持。
"随着Flash不再可用,攻击者不得不切换到一个更难的目标:浏览器本身,"泰勒写道。
最重要的是Brave,Opera,Vivaldi等使用的开源Chromium的普及。虽然Edge不像Chrome那样受欢迎,但它确实随Windows 10和Windows 11一起提供。
"攻击者会去寻找最受欢迎的目标。在2020年初,Edge转向使用Chromium渲染引擎。如果攻击者可以在Chromium中找到错误,他们现在可以攻击更大比例的用户,"Taylor认为。
然而,浏览器零日明显上升的另一个原因是,由于努力加强浏览器,例如Chrome的网站隔离,攻击者需要将多个错误链接在一起才能实际利用浏览器。因此,攻击者需要更多的弹药才能达到相同的效果。
"对于完全相同水平的攻击者成功,随着时间的推移,我们会看到更多的野外错误报告,因为我们增加了攻击者需要绕过的更多防御层,"他指出。
最后,浏览器软件是巨大的,现在几乎和操作系统一样复杂。
"更复杂意味着更多的错误,"泰勒评论道。
他还指出了Project Zero最近发表的关于软件供应商修补缺陷的速度的研究。Chrome的修补和发布速度比WebKit和Firefox快。
谷歌敦促所有供应商针对安全问题实施更频繁的补丁节奏。例如,Chrome将其稳定的发布周期从六周缩短到四周。微软从94号版本94的9月份发布到与Edge相同的周期。