Google：去年1/4零时差漏洞来自修补不确实

Google专门漏洞挖掘洞的Project Zero指出，2020年发现的零时差漏洞中，有1/4出自厂商修补不正确或不完整，导致旧漏洞持续威胁用户。

Project Zero安全研究员Maddie Stone指出，2020年零时差攻击猖獗，许多浏览器都曾成为攻击标的，内存毁损的灾难也屡见不鲜。过去一年Project Zero总共发现了24项漏洞，但其中25%，即6个如果更彻底研究和安装修补程序，就可能避免。然而过去一年却发生因未能正确或完整修补漏洞，而发生新漏洞，让用户系统因此暴露在零时差漏洞攻击风险中。

细究去年的零时差漏洞，有6项漏洞和已发生攻击的漏洞关系密切，有些甚至只改了1、2行程序代码就变成了新漏洞，微软的Windows、IE、Firefox、Chrome、Safari皆发生过，像是Safari的CVE-2020-27930、Firefox的CVE-2020-6820、Chrome的CVE-2020-6572、Chrome Freetype的CVE-2020-15999。Windows则是由CVE-2019-0880，改成了今年的CVE-2020-0986。黑客只要好好分析旧漏洞，就更可以更轻松开采新漏洞。

另外有三个漏洞属于发生攻击后，厂商有修补、却修补不完全而导致的新漏洞，需要第二次修补，像是IE的CVE-2020-0674导致CVE-2020- 0968，Google Chrome的CVE-2019-13764衍生出CVE-2020-6383，而前述提及的CVE-2020-0986，竟也因修补不全而变成CVE-2020-17008，攻击程序也是稍稍改动即可用于新漏洞。

研究人员指出，反过来看，如果有正确和完整修补零时差漏洞，要发动攻击难度也会提高。但她也指出，要正确而全面修补漏洞并非易事，而且在已发生攻击时开发修补程序要兼顾快速和完整性，两者之间经常发生冲突。这项分析也说明了安全界还有待努力。