寻找零日漏洞并不是一条漫长而平静的河流。有时事情会在混乱中丢失。谷歌安全研究人员刚刚提供了最新的例子。值此大会召开之际黑帽 2022,后者提出了监控软件发行商使用的一系列零日漏洞,目的是攻击 Android 终端。
其中一个缺陷 (CVE-2021-0920) 特别引人注目,因为它是非常复杂的漏洞链的一部分,这些漏洞允许使用管理员权限远程控制终端。这个缺陷是在“内核垃圾收集”模块中发现的,并于 2021 年 9 月进行了修补。但几乎考古研究表明,它至少从 2016 年起就已经为人所知。
错失良机
据 Gizmodo 报道,谷歌能够在 Linux 内核邮件列表中找到有关此主题的交流。甚至有人提出了一个补丁,但由于在这个问题上缺乏普遍共识而被拒绝。 Linux 内核的开发人员之一写道:“为什么我应该应用一个只是 RFC [征求意见,一份描述技术以供将来采用的文档,编者注] 的补丁,它没有合适的提交消息,缺少真正的签名,哪个不能从已知开发人员的验证或反馈中受益?
在那之后,每个人都忘记了,除了一家间谍软件公司将其集成到其产品中,这既不为人所知,也不为人所知。直到谷歌研究人员分析了由此产生的攻击后,这个缺陷才重新浮出水面并最终被关闭。这个过程最终相当曲折,给海盗留下了太多的回旋余地。
大约三十名演员跟着裤子
在谷歌,来自这些发布商的风险已成为主要风险。“以前,我们只需关注来自中国、俄罗斯或其他国家的威胁朝鲜的。现在,我们的威胁分析小组 (TAG) 拥有一支专门针对供应商和商业运营商的团队 (...) TAG 积极跟踪 30 多家具有不同复杂程度和公开曝光度的供应商,向参与者出售漏洞利用或监视功能状态 ”几周前,TAG 总监肖恩·亨特利 (Shane Huntley) 向美国众议院宣布。由于这些行为者使用的技术水平很高,可与国家使用的技术相媲美,因此这种监测变得更加困难。
来源 : 吉兹莫多
