2022年迄今为止半数零日漏洞都是之前漏洞的变体

谷歌Project Zero研究人员Maddie Stone在博客文章中揭示，今年截至目前发现的野生零日漏洞中有九个本可以避免——如果组织应用了更加全面的漏洞修复……

“最重要的是，2022年发现的零日漏洞中有四个都是2021年野生零日漏洞的变体。原始零日漏洞修复后仅仅12个月，攻击者就携原始漏洞的变体卷土重来了。”Stone称。

最近的一个例子就是Windows平台中的Follina漏洞。该漏洞编号为CVE-2022-30190，是MSHTML零日漏洞CVE-2021-40444的变体。

去年未得到妥善修复的Windows野生零日漏洞CVE-2021-1732也衍生出了一个变体：CVE-2022-21882。

iOS IOMobileFrameBuffer漏洞CVE-2022-22587和Chrome V8引擎类型混淆漏洞CVE-2022-1096这两个零日漏洞，分别是去年发现的可利用安全缺陷CVE-2021-30983和CVE-2021-30551的变体。

未妥善修复的安全缺陷在2022年形成的其他零日漏洞还包括：CVE-2022-1364（Chrome）、CVE-2022-22620（WebKit）、CVE-2021-39793（Google Pixel）、CVE-2022-26134（Atlassian Confluence）和CVE-2022-26925（名为PetitPotam的Windows缺陷）。

“Windows win32k漏洞（CVE-2022-21882）和Chromium属性访问拦截器漏洞（CVE-2022-1096）这两个案例中，概念验证漏洞利用程序所利用的执行缺陷得到了修复，但其根本原因并未解决：攻击者能够通过另一条路径卷土重来，触发原始漏洞。”Stone解释称。

WebKit和PetitPotam漏洞之所以出现，是因为原始漏洞虽已解决，但在某个时候又回退了，使得攻击者能够再次利用相同的漏洞。

“只要野生零日漏洞程序被发现，攻击者即宣告任务失败。但对我们安全维护者而言，这是一份礼物，让我们能够尽可能多地从中学习，采取行动确保该漏洞利用方法无法再次使用。”Stone指出。

想要确保正确且全面地修复漏洞，我们可以分析漏洞产生的根本原因及其引入方式，分析与手头安全问题类似的漏洞，以及分析所用的漏洞利用技术和补丁。

“透明共享这些分析也有助于整个行业，可以帮助开发人员和安全人员更好地看清攻击者对这些漏洞的掌握程度，有助于带来更完善的解决方案和安全态势。”Stone总结道。