查看原文
其他

2020年上半年,谷歌共检测到11个已遭利用的 0day

Catalin Cimpanu 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
谷歌 Project Zero 安全团队表示,在今年上半年共检测到11个在野利用的0day 漏洞。


2019年,谷歌Project Zero 团队共检测到20个0day 漏洞,而今年上半年检测到的数量已与此持平。

如下我们将列出上半年检测到的11个在野利用0day 并概述谷歌在上周发布的首份《0day 年度回顾报告》。该报告详述了谷歌在2019年检测到的0day及其起因。


2020上半年检测到的 0day


1、Firefox (CVE-2019-17026)

该漏洞和另外一个0day漏洞结合利用。该漏洞已在 Firefox 72.0.1 中修复。

2、IE浏览器 (CVE-2020-0674)

上述 Firefox 0day 和本漏洞均遭国家黑客组织 DarkHotel 利用。该黑客组织被指受朝鲜半岛(或是朝鲜或是韩国)支持。这两个0day 均被用于监控位于中国和日本的目标,是由中国安全公司和日本计算机应急响应中心JPCERT 发现的。

遭攻击后,目标被重定向至某网站,从而遭Gh0st 远程访问木马的感染。

微软已在今年2月份的补丁星期二中修复该0day。

3、Chrome (CVE-2020-6418)

谷歌威胁分析 (TAG) 团队检测到这个遭在野利用的0day,且该攻击的详情尚未公开。该漏洞已在 Chrome 版本80.0.3987.122中修复。

4、第4个和第5个0day趋势科技 OfficeScan (CVE-2020-8467和 CVE-2020-8468

这两个0day 均由趋势科技员工发现,据称这两个 0day 是趋势科技调查同一产品中在2019年出现的一个0day 时发现的。2019年的这个0day 被用于攻击三菱电机。

这两个0day已被修复。

5、第6个和第7个0dayFirefox(CVE-2020-6819和CVE-2020-6820

虽然利用这两个0day发起的攻击详情尚未披露,然而研究人员认为可能是更大exploit 链的一部分。

这两个漏洞已在Firefox 74.0.1 中修复。

6、第8、第9和第10个0day(CVE-2020-0938、CVE-2020-1020和CVE-2020-1027

所有的这三个0day 均由谷歌 TAG 团队发现并报告。和TAG团队发现的其它漏洞一样,这三个0day的详情尚未发布。

微软已在4月份的补丁星期二中修复它们。

7、SophosXG Firewall (CVE-2020-12271)

今年早些时候,某黑客组织在英国安全公司Sophos 开发的一款顶级防火墙产品 XG 中发现了一个0day。该0day 位于该防火墙的管理面板中,是一个SQL 注入漏洞,可导致黑客在受感染系统中植入 Asnarok 后门。Sophos在调查中表示,该 0day 遭报道后,黑客试图在受感染主机上部署Ragnarok 勒索软件,不过该公司表示阻断了多数攻击。

该漏洞已修复。


2019年0day漏洞分析


谷歌发布《2019年0day年度回顾报告》,全面分析了安全企业披露0day 漏洞的方式、受影响最严重的软件产品及其原因以及多数0day 的起因。如下是报告的主要结论:

  • 2019年,谷歌表示共检测到20个0day。

  • 其中11个0day影响的是微软的产品。

  • 两家公司发现了一半的0day(谷歌发现了7个,卡巴斯基发现了4个)

  • 自2014年谷歌开始检测以来,Linux、Safari或macOS 中并未出现遭活跃利用的 0day。

  • 2019年首次出现安卓0day。

  • 并非所有的0day 均影响操作系统/软件的最新版本。

  • 谷歌认为某些软件厂商将遭活跃利用的0day 隐藏在常见的漏洞修复中。

  • 谷歌指出,对微软存在检测偏见,因为检测Windows 漏洞的安全工具更多。

  • 谷歌表示,由于移动平台采用了封闭式和应用程序沙箱方法,因此难以从中检测到0day。

  • 在2019年检测到的0day中,63%的漏洞是内存损坏漏洞(2020年上半年检测到的内存损坏0day漏洞比例也是63%。它和微软及谷歌在2019年发布的数据吻合,这两家公司均表示70%的微软漏洞和70%的Chrome 漏洞都是内存安全问题)(2020年这一比例是63%)。

谷歌计划之后每年发布《0day年度回顾报告》。

(1) 谷歌发布了自2014年以来的在野利用0day的内部数据,详见:

https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=1869060786

(2) 谷歌发布的2019年0day年度回顾报告可见:

https://googleprojectzero.blogspot.com/2020/07/detection-deficit-year-in-review-of-0.html




推荐阅读

因多年不受重视,研究员公开2个未修复 Tor 0day且承诺再放3个

D-Link 不止暴露固件镜像密钥,还被曝5个严重0day

不到4个小时,我找到了一枚苹果 0day



原文链接

https://www.zdnet.com/article/google-eleven-zero-days-detected-in-the-wild-in-the-first-half-of-2020/




题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存