谷歌安全团队公布内部追踪的“已在野利用0day”列表

谷歌 Project Zero 团队推出“在野”0day 项目（0day In the Wild），专门追踪已遭利用但厂商尚未发布补丁的0day 漏洞。它实际上是 Project Zero 团队用于追踪大众或厂商尚未知晓但已遭利用的 0day 漏洞的一份电子表格。

该表格目前列出了自2014年以来已遭在野利用的100多个漏洞，内容包括 CVE 编号、受影响厂商、受影响产品、漏洞类型、简要的漏洞介绍、漏洞发现日期、补丁发布日期、官方公告链接、缺陷分析资源链接以及贡献信息。

该表格目前包括影响如下厂商产品的漏洞：Facebook、微软、谷歌、苹果、Adobe、Mozilla、思科、甲骨文、IBM 和 Ghostscript。这些列出的0day 被认为至少已遭如下组织的利用：FruityArmor、ScarCruft (APT 37)、BlackOasis、APT 28 (Fancy Bear、Sofacy)、方程式组织、AdGholas、APT31、Sandworm、Animal Farm 和备受争议的间谍软件制造商 NSG Group和 Hacking Team。

值得注意的是，该项目并不追踪所有遭在野利用的 0day 漏洞，而只是关注 Project Zero 研究所涵盖的软件。例如，InPage 文字处理器虽然基本由讲乌尔都语和阿拉伯语的人群使用，但其中的 0day 漏洞并不包含在列表中。

另外，表格中并不包含软件已处于生命周期结束之际在该软件中发现的漏洞情况，例如影子经纪人泄露的在2017年被修复的 ExplodingCan 利用代码。而且它也不包含在详情被公开但补丁未发布期间被利用的缺陷，如2018年8月受挫的研究员 SandboxEscaper在推特上发布的 Windows 0day CVE-2018-8440。

Project Zero 团队的 Ben Hawkes 表示，“这种数据源自多种公开来源。虽然我们包含了第三方分析和贡献的相关链接，但我们这么做的目的只是为了消息发布；第三方发表的结论并不意味着我们使用并验证了这些结论。虽然表格中描述的数据并非新信息，但我们认为把它们收集到一起会发挥作用。”

目前收集的数据表明，平均而言，每隔17天就会发现1个遭在野利用的缺陷，厂商需要15天的时间修复在遭利用的缺陷，近90%的 0day 漏洞会发布详细的技术详情，以及约三分之二的漏洞产生的根因在于内存损坏问题。

https://www.securityweek.com/google-starts-tracking-zero-days-exploited-wild

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。