零日計劃(ZDI)今年將收購更多漏洞
責(zé)編:gltian |2019-01-29 14:18:152018年堪稱安全漏洞年,2019年安全漏洞問題可能更加嚴(yán)重。
ZDI從本質(zhì)上而言是從安全研究人員處收購漏洞再負(fù)責(zé)任報告給廠商的一項生意。2018年ZDI共發(fā)布了1,444個安全公告,比2017年增加42%。ZDI采取的策略是留給廠商120天時間修復(fù)漏洞,然后再公開披露。2018年里,接到ZDI負(fù)責(zé)任報告的廠商絕大部分都在披露窗口期內(nèi)響應(yīng)并修復(fù)了漏洞,僅158個漏洞(11%)未能在窗口期內(nèi)修復(fù)。
ZDI溝通總監(jiān) Dustin Childs 告訴媒體:
總體上,只有漏洞總數(shù)令人感到意外。我們預(yù)期到了2018年報告的漏洞數(shù)量會比2017年多,但沒想到多出了40%以上。另一個意外可能是我們預(yù)測了卻沒發(fā)生的事:新的研究領(lǐng)域并未如我們預(yù)測的那般多。
Childs表示,看起來似乎僅當(dāng)前研究領(lǐng)域就還有很多漏洞夠安全研究人員忙活的。2018年最為繁忙的安全研究領(lǐng)域是與Adobe和Foxit相關(guān)的PDF技術(shù),ZDI共收購了257個Foxit漏洞和238個Adobe漏洞。
最近這幾年里,PDF漏洞報告的規(guī)模一直在增長。鑒于PDF那巨大的攻擊面,未來幾年中PDF相關(guān)漏洞的報告看起來是不會減的。
微軟的漏洞也繼續(xù)保持活躍,ZDI在2018年里收獲了124個微軟安全漏洞。其中,47%與瀏覽器有關(guān),包括IE、Edge和VBScript漏洞。ZDI收獲的漏洞各種嚴(yán)重程度都有,60%的嚴(yán)重性評估為中度,33%為高度。
修復(fù)
ZDI眼中,廠商在2018年面臨的最大挑戰(zhàn)之一是現(xiàn)有補丁中的漏洞,也就是廠商已經(jīng)發(fā)布了補丁但安全研究人員仍能利用該漏洞或找出其他方面的風(fēng)險。
這種問題就好似醫(yī)生只緩解癥狀不根除病灶一樣。廠商往往只修復(fù)問題點,而不去解決底層的根源。
有時候廠商做出只修復(fù)問題點的選擇也無可厚非,因為完整修復(fù)可能會要求移除整個功能或代碼庫。有時候則是因為應(yīng)用兼容性問題。無論什么原因,廠商不解決底層問題的例子比比皆是,也就造成了漏洞需要多個補丁才能完全堵住的現(xiàn)象。
Pwn2Own
ZDI的漏洞收購是貫穿全年的,但也有些活動或大會性質(zhì)的漏洞收購。其中最活躍,獎金最豐厚的要數(shù)一年一次的Pwn2Own黑客大賽了。只要能夠現(xiàn)場演示軟件漏洞,就能拿走現(xiàn)金獎勵。
去年的Pwn2Own聚焦Web瀏覽器和虛擬化技術(shù),2019年其范圍將擴大到汽車技術(shù),特斯拉會成為這方面的目標(biāo)。ZDI將為成功漏洞利用發(fā)出最高30萬美元的獎金和一輛特斯拉 Model 3。
汽車類對ZDI而言無疑是全新領(lǐng)域,但遵循了ZDI在Pwn2Own上增加不同設(shè)備與目標(biāo)的趨勢,可以保持該競賽的新鮮感與重要性。
今年的大賽除了微軟會作為合作伙伴回歸,還有VMware和特斯拉會作為贊助商提供支持。2019年的Pwn2Own上將出現(xiàn)多種微軟系目標(biāo),包括價值25萬美元賞金的Hyper-V客戶機到主機逃逸型虛擬化漏洞利用。VMware提供的最高獎將為ESXi虛擬化技術(shù)漏洞利用頒出,但必須是能讓客戶操作系統(tǒng)在主機操作系統(tǒng)中執(zhí)行代碼的那類。
瀏覽器一直是Pwn2Own大賽上的主要目標(biāo)。2019年,ZDI將為谷歌Chrome瀏覽器和微軟Edge漏洞利用發(fā)出最高8萬美元的獎金。蘋果Safari瀏覽器漏洞利用若能造成macOS內(nèi)核提權(quán),也能贏得6.5萬美元獎勵。通過 Mozilla Firefox 瀏覽器執(zhí)行的Windows內(nèi)核提權(quán)可以拿下5萬美元獎金。
Linux
值得一提的是,Pwn2Own 2019 的目標(biāo)列表中缺少了往年都會有的Linux。2017年,Ubuntu Linux 在Pwn2Own首日競賽中即宣告被成功漏洞利用。ZDI如今將Linux和服務(wù)器目標(biāo)轉(zhuǎn)移到了另一個計劃中——針對性激勵計劃(Targeted Incentive Program)。
創(chuàng)立針對性激勵計劃時,我們的部分考慮是如何將Pwn2Own從幾天擴展至數(shù)月。某些目標(biāo)需要大量研究才能找到并編制出完整的漏洞利用程序。我們很感興趣的許多Linux目標(biāo),比如Apache和NGINX,都轉(zhuǎn)移到了那個計劃中。
Pwn2Own 2019 將于2019年3月20-22日在加拿大溫哥華的CanSecWest大會上舉行。
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織