备注请放最后面 违者新闻文章删除
1.媒体来源:
iThome
2.记者署名:
文/陈晓莉 | 2023-07-31发表
3.完整新闻标题:
去年发现41个遭到攻击的零时差漏洞，Android上的n-days漏洞跟0-days漏洞一样危险
4.完整新闻内文:
Google威胁分析小组（Threat Analysis Group，TAG）本周公布了2022年的零时差攻击漏
洞报告，指出去年总计发现了41个遭到骇客攻击的零时差漏洞，其中有超过40%与过去曾
公开揭露的漏洞有关，也有愈来愈多的骇客锁定同样的零时差漏洞，另外值得注意的是，
由于Android平台上的漏洞修补时程太长，导致该平台的n-days漏洞跟零时差（0-days）
漏洞一样危险。
去年所发现的零时差漏洞有8个出现在Windows平台上，4个为iOS平台，3个为Android平台
，2个为macOS平台，也有2个是在Exchange Server上。
这41个零时差漏洞是由18个不同的组织所发现，2021年的58个零时差漏洞则是由20个组织
所发现，Google认为这是个好现象，代表资安社群共同努力辨识并找出遭到骇客攻击的零
时差漏洞，且欢迎更多的研究人员加入。
此外，当中有17个零时差漏洞似曾相识，因为它们是从过去公开揭露的漏洞所衍生的，其
比例从2020年的25%，增加到去年的41%。TAG认为此一趋势的原因有很多，也许是骇客正
在利用更多的变种，或者是资安社群侦测或辨识变种的能力变好了，比较令人担心的是这
些漏洞没有被完整的修补因而出现更多的变种。
而纵使骇客并不会分享所发现的零时差漏洞，但这些漏洞并非独家的，研究显示不同的骇
客也会攻击同样的零时差漏洞，如同不同单位的研究人员也会找到同样的零时差漏洞。
此次的报告最引人注目的莫过于TAG对Android平台上n-days漏洞的警告。TAG指出，由于
修补的时程太长，锁定Android平台的骇客根本不需利用零时差漏洞，只要锁定那些早就
被揭露的n-days就可以达到同样的效果了。
Android平台上的安全空窗期源自于它必须经历元件或韧体供应商的修补、Google的修补
到制造商的修补，最后才能到达使用者的Android装置上，有些例子很令人咋舌，例如在
2022年7月由安全研究人员Man Yue Mo于ARM Mali GPU所发现的CVE-2022-38181漏洞。
这名研究人员在2022年7月向Android安全团队通报漏洞，由于该漏洞仅会发生在特定的装
置上，于是Android安全团队8月向ARM表明不必修补，但ARM还是在10月修补了漏洞，11月
就出现了攻击程式，但一直到今年4月，它才出现在Android的安全公告中，整个历程长达
9个月，从修补到现身于公告也花了6个月。
看起来TAG对于同门的Android安全团队并不留情，另一个例子是三星的Samsung
Internet browser在2022年12月遭到零时差攻击，骇客利用了分别位于Chromium的
2022-3038与ARM Mali GPU的CVE-2022-22706两个零时差漏洞，但其实ARM早就在2022年的
1月修补了该漏洞，而且修补当时漏洞就已遭到攻击，然而它却一直到2023年的6月才被纳
入Android安全公告中。
5.完整新闻连结 (或短网址)不可用YAHOO、LINE、MSN等转载媒体:
https://www.ithome.com.tw/news/158044
6.备注:
快更新！