谷歌最新的零日漏洞年度审查声称已知漏洞可能比零日漏洞更严重。谷歌在报告中询问Android是否需要零日漏洞。通常,漏洞在公开之前最受关注。在此期间(希望很短),攻击者可以执行漏洞利用而不必担心补丁。
就Android而言,一旦Google意识到该漏洞,无论补丁状态如何,该漏洞都会持续n天。
谷歌补充说,在某些情况下,整个生态系统中的补丁在很长一段时间内都无法向用户提供,谷歌将此归咎于上游(开发者)修复与下游(制造商)采用之间的脱节。
2022年一份题为“注意差距”的报告得出的结论是,设备供应商应该像最终用户建议的那样快速对补丁做出反应。
2022年共检测到41个零日漏洞,比前一年检测到的69个零日漏洞下降了惊人的40%,但由于n日漏洞的可利用性比应有的更高,攻击者并未受到同样的减少在易受攻击的表面。
与此同时,谷歌强调了无效的补丁方法,这些补丁方法只能修复所使用的漏洞方法,而不是修复整个漏洞,谷歌称这并不全面,也不构成完整的补丁。
展望未来,谷歌明确强调清晰的沟通和协作,敦促各方在详细分析后共享尽可能多的技术细节。
该公司还呼吁“迅速向用户提供修复和缓解措施,以便他们能够保护自己。”