谷歌: 安卓补丁漏洞让 N-days 与 0-days 同样危险

近日,谷歌发布了年度零日漏洞报告,展示了 2022 年的野外漏洞统计数据,并强调了 Android 平台中长期存在的问题,该问题在很长一段时间内提高了已披露漏洞的价值和使用。

更具体地说,谷歌的报告强调了安卓系统中的 "N-days "问题,该问题源于安卓生态系统的复杂性,涉及上游供应商(谷歌)和下游制造商(手机制造商)之间的多个环节。致使不同设备型号之间的安全更新时间存在重大差异,即对于威胁行为者来说,"N-days "就是 "0-days"。

“0-day漏洞”(又称零日漏洞),通常就是指还没有补丁的安全漏洞,也就是已经被少数人发现的,但还没被传播开来,官方还未修复的漏洞。 当“0-day漏洞”被发现并公开后,没有补丁的一段时间内(通常时间会很短),根据习惯这个漏洞会被称为1-day漏洞。当厂商提供了修复补丁,但是漏洞仍然还在被利用时,我们一般会称呼这个漏洞为N-day漏洞。

谷歌在报告中表示,尽管谷歌或其他厂商已经提供了补丁,但攻击者仍可以利用该漏洞。因为即使谷歌或其他厂商修复了漏洞,但下游的设备制造商仍需要几个月的时间才能在自己的安卓版本中推出。

因此,上游厂商和下游厂商之间补丁的间隔使得N-days(公开已知的漏洞)可以像0-days一样,因为用户无法随时获得补丁,他们唯一的办法就是停止使用设备。

N-days 与 0-days 同样危险

2022 年,诸如此类的问题对安卓系统造成了很大的影响,其中最著名的是 CVE-2022-38181,这是 ARM Mali GPU 中的一个漏洞。该漏洞于 2022 年 7 月报告给安卓安全团队,被认定为 "无法修复",2022 年 10 月被 ARM 修补,最后被纳入安卓 2023 年 4 月的安全更新中。

2022 年 11 月,即 ARM 发布修补程序一个月后,该漏洞在野外被发现。

直到 2023 年 4 月,Android 安全更新推送修复程序时,对该漏洞的利用仍有增无减,这距离 ARM 解决该安全问题足足过去了 6 个月。

CVE-2022-3038:Chrome 105 中的沙箱逃逸漏洞,该漏洞已于 2022 年 6 月得到修补,但基于早期 Chrome 版本的供应商浏览器(如三星的 "互联网浏览器")仍未得到解决。

CVE-2022-22706:ARM Mali GPU 内核驱动程序中的漏洞,供应商已于 2022 年 1 月修补了该漏洞。

这两个漏洞于 2022 年 12 月被发现利用,是三星安卓设备感染间谍软件的攻击链的一部分。

三星于 2023 年 5 月发布了针对 CVE-2022-22706 的安全更新,而安卓安全更新则在 2023 年 6 月的安全更新中采用了 ARM 的修复程序,延迟时间长达 17 个月之久。

即使谷歌发布了安卓安全更新,设备供应商也需要长达三个月的时间才能为支持的机型提供修补程序,这就给攻击者提供了针对特定设备攻击的机会。

这种补丁间隙实际上使 "N-day "与 "0-day "具有同等威胁,威胁者可以在未打补丁的设备上利用 "N-day"。相比于0日漏洞N-day可能威胁会更大,因为其技术细节已经公布,可能还有概念验证(PoC)漏洞,使威胁者更容易滥用它们。

好消息是,谷歌 2022 年的活动总结显示,零日漏洞与 2021 年相比有所下降,发现了 41 个,而浏览器类别的下降幅度最大,发现了 15 个漏洞(2021 年为 26 个)。

另一个值得注意的发现是,在 2022 年发现的零日漏洞中,有 40% 以上是以前报告过的漏洞的变种,因为绕过已知漏洞的修复程序通常,比找到一个新型零日漏洞要容易得多。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/75149.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Matlab对TMS320F28335编程--SVPWM配置互补PWM输出

前言 F28335中断 目的:FOC的核心算法及SVPWM输出,SVPWM的载波频率10kHz,SVPWM的每个周期都会触发ADC中断采集相电流,SVPWM为芯片ePWM4、5、6通道,配置死区 1、配置中断SVPWM进ADC中断,查上表知CPU1,PIE1 …

回归分析书籍推荐

回归分析在线免费书籍:I 1-ntroduction to Regression Methods for Public Health using R Introduction to Regression Methods for Public Health Using R 2-An Introduction to Statistical Learning https://hastie.su.domains/ISLR2/ISLRv2_website.pdf 可以…

【Jmeter】压测mysql数据库中间件mycat

目录 背景 环境准备 1、下载Jmeter 2、下载mysql数据库的驱动包 3、要进行测试的数据库 Jmeter配置 1、启动Jmeter图形界面 2、加载mysql驱动包 3、新建一个线程组,然后如下图所示添加 JDBC Connection Configuration 4、配置JDBC Connection Configurati…

vue运行在IE浏览器空白报错SCRIPT1006: 缺少‘)‘ -【vue兼容IE篇】

其他浏览器均正常,但是切换ie模式,打开空白,F12打开报错缺少‘)‘ ,如下图 在搜狗浏览器下点开报错:定格在crypto-js处 解决: 步骤一:使用npm安装babel-polyfill 依赖(已安装了可忽…

AI赋能转型升级 助力打造“数智辽宁”——首次大模型研讨沙龙在沈成功举行

当前,以“ChatGPT”为代表的大模型正在引领新一轮全球人工智能技术发展浪潮,推动人工智能从以专用小模型定制训练为主的“手工作坊时代”,迈入以通用大模型预训练为主的“工业化时代”,正不断加速实体经济智能化升级,深…

主流CRM有哪些特点和优势?

现如今,CRM系统是企业实现数字化转型,提高销售收入的首选工具。但市场上有众多CRM品牌,每家都有自己的特点和优势,企业该如何进行选择?下面我们就来进行主流CRM系统比较,并说说什么CRM产品比较好? 主流CR…

学习笔记|C251|STC32G单片机视频开发教程(冲哥)|第三集:开发环境搭建和程序下载

文章目录 1.STC-ISP软件的下载2.STC32手册下载3.PDF阅读器下载4.学会PDF阅读器查阅手册5.跟着手册搭建C251开发环境Tips:如何同时安装Keil的C51、C251和MDK 6.程序包的下载7.第一个工程的编译和下载 原作者/主讲人:冲哥 原始视频地址 1.STC-ISP软件的下载 STC-ISP …

Clickhouse 优势与部署

一、clickhouse简介 1.1 clickhouse介绍 ClickHouse的背后研发团队是俄罗斯的Yandex公司,2011年在纳斯达克上市,它的核心产品是搜索引擎。我们知道,做搜索引擎的公司营收非常依赖流量和在线广告,所以做搜索引擎的公司一般会并行推…

wordpress发表文章时报错: rest_cannot_create,抱歉,您不能为此用户创建文章(已解决)

使用wordpress 的rest api发布文章,首先使用wp-json/jwt-auth/v1/token接口获取token,然后再使用/wp-json/wp/v2/posts 接口发表文章,但是使用axios请求时,却报错: 但是,我在postman上却是可以的&#xff0…

el-table 去掉边框(修改颜色)

原始&#xff1a; 去掉表格的border属性&#xff0c;每一行下面还会有一条线&#xff0c;并且不能再拖拽表头 为了满足在隐藏表格边框的情况下还能拖动表头&#xff0c;修改相关css即可&#xff0c;如下代码 <style lang"less"> .table {//避免单元格之间出现白…

神策新一代分析引擎架构演进

近日&#xff0c;神策数据已经推出全新的神策分析 2.5 版本&#xff0c;该版本支持分析模型与外部数据的融合性接入&#xff0c;构建全域数据融合模型&#xff0c;实现从用户到经营的全链路、全场景分析。新版本的神策分析能够为企业提供更全面、更有效的市场信息和经营策略&am…

35岁,体能断崖?35岁的技术人还能继续干吗?

文章目录 前言1、首先来聊聊程序员的几个[通病]2、来聊聊程序员病的普及3、聊聊自己的体能状况和身体焦虑4、结论相关项目实现推荐&#xff1a;[查看更多博主首页更多实战项目 >>>](https://blog.csdn.net/s445320) &#x1f339;作者主页&#xff1a;青花锁 &#x1…

使用mysql容器创建主从同步

1、主数据库设置 创建主数据库容器&#xff1a; docker run -d --restartalways --name mysql-master -p 3306:3306 -v /home/apps/mysql-master/conf:/etc/mysql/conf.d -v /home/apps/mysql-master/data:/var/lib/mysql -e MYSQL_ROOT_PASSWORD123456 mysql:8.0.16 --lower…

AI 3D结构光技术加持,小米引领智能门锁新标准

一直以来&#xff0c;小米智能门锁系列产品让更多家庭走进了安全便捷的智能生活&#xff0c;安全至上的设计让很多家庭都轻松告别了随身钥匙。 7月27日&#xff0c;小米正式推出小米智能门锁M20 Pro&#xff0c;再一次引领智能门锁产品的发展潮流。该款门锁采用AI 3D结构光技术…

在centos7.9安装tomcat8,并配置服务启动脚本,部署jpress应用

目录 一、简述静态网页和动态网页的区别 二、简述 Webl.0 和 Web2.0 的区别 三、 安装Tomcat8&#xff0c;配置服务启动脚本&#xff0c;部署jpress应用 3.1、Tomcat简介 3.2、安装Tomcat 3.2.1、配置环境 3.2.2、安装JDK 3.2.3、安装tomcat8 3.2.4、访问主页&#xff1…

Transformer 论文学习笔记

重新学习了一下&#xff0c;整理了一下笔记 论文&#xff1a;《Attention Is All You Need》 代码&#xff1a;http://nlp.seas.harvard.edu/annotated-transformer/ 地址&#xff1a;https://arxiv.org/abs/1706.03762v5 翻译&#xff1a;Transformer论文翻译 特点&#xff1…

前端视频播放技术概览

转眼间&#xff0c;2023 年已进入下半场&#xff0c;在这样一个时间节点下&#xff0c;长视频平台如爱奇艺、优酷、腾讯视频等&#xff0c;以及短视频平台如抖音、快手等&#xff0c;对大家来说早已是司空见惯的事物。然而&#xff0c;在我们追剧、刷弹幕的时候&#xff0c;很少…

掌握好视频翻译软件的使用方法,帮你跨越语言障碍

嘿&#xff0c;翻译小达人们&#xff0c;你知道吗&#xff0c;当你看到一段充满神秘符号的英语视频&#xff0c;脑袋里冒出一大片问号的时候&#xff0c;别慌&#xff01;我们有比手动翻译更妙的解决办法——视频翻译。嗯&#xff0c;这货可不一般&#xff0c;它能帮你解读视频…

【2023年电赛国一必备】C题报告模板--可直接使用

任务 图1 任务内容 要求 图2 基本要求内容 图3 发挥部分内容 说明 图4 说明内容 评分标准 图5 评分内容 正文 &#xff08;部分&#xff09; 摘要 本实验基于TI公司的TM4C123GH6PM主控&#xff0c;结合OPA2337芯片和其他硬件模块&#xff0c;设计并制作了一种单相逆变器…

信号的频谱分析与信号滤波

信号的频谱分析与信号滤波 试验目的&#xff1a;熟悉信号的频谱分析与信号滤波。 信号的频谱分析 例、建立一个含50Hz和120Hz幅值为2的正弦信号&#xff08;sin&#xff09;&#xff0c;然后叠加一个幅值为1的随机信号&#xff0c;利用Matlab分析其频谱。并滤除噪声信号和12…