热门的零日漏洞夏季

关键要点

• 近几个月新发现的大量软件漏洞让网络安全研究界感到担忧，称之为“热门零日夏季”。
• 2023年前七个月，全球报告了53个被利用的零日漏洞，明显高于2022年的52个。
• 专家们认为漏洞增加归因于更先进的检测工具、技术的发展，以及对网络安全意识的提高。
• 尽管漏洞数量上升，但对安全实践的重视仍显不足。

近年来，网络安全领域出现大量新发现的软件漏洞，一些专家称之为“热门零日夏季”。在刚过去的六月和七月，一些大型软件公司，如苹果的、谷歌的和，都报告了零日漏洞，引发了对这些安全漏洞及未来潜在影响的广泛关切。

在与SCMedia的交流中，网络安全专家们提出了诸多可能的原因，包括技术进步使得发现新漏洞变得更容易，以及各种行业和领域中普遍存在的漏洞赏金计划，提供了直接的经济激励，鼓励安全研究人员进行漏洞发现。

更深入的分析表明，今年的零日漏洞数量显著上升，相较于往年而言，这一趋势可能是长期发展的结果。Mandiant高级经理JaredSemrau表示，尽管一些人戏称这是“零日夏季”，实际上漏洞的数量在整个年度保持在一个比较高的水平。“六月份的漏洞披露数量虽然较少，但却有高曝光度的事件，这让更多人注意到了这些问题。”

坏消息还是好预兆？

零日漏洞是未激活的安全漏洞，直到补丁发布并应用之前，开发人员只有“零天”准备对策，因此找到这些漏洞对于关注特定产品安全的人士来说尤为重要。

尽管并不是所有的漏洞都会被利用，最新数据显示被实际利用的零日漏洞数量也出现了上升。Zero-
Day.cz项目在线统计显示，2023年前七个月共记录了53个在野外被利用的零日漏洞，而2022年全年为52个。

谷歌的零日项目也监控到了今年截止到7月31日已有30个零日利用案例，较去年同期的23个增加了约25%。与此同时，TrendMicro的自称为“全球最大的无关联漏洞赏金计划”的零日倡议（ZDI）告诉SCMedia，截至7月31日，他们的研究人员报告了44个零日漏洞，稍低于2022年全年披露的99个。

“过去几年中，披露的漏洞数量稳步增加，有充分证据表明，造成这一现象的原因之一是我们在识别漏洞方面变得更为高效。”马里兰大学网络安全中心的研究员OctavianSuciu说道。

Critical Start的首席信息安全官GeorgeJones也指出，这一增长与检测和分析工具的改进、经济和地缘政治因素，以及漏洞猎人的警觉性提高密切相关。

然而，Jones及其他专家一致认为，零日漏洞的增加根本上与当今日益增强的连接性和日趋复杂的软件代码息息相关。“由于软件和技术的广泛应用，组织的攻击面也在不断增长，因此零日漏洞的出现机会也随之增加。”Jones告诉SCMedia。

过去五年中，应用和系统变得比以往更加复杂。Keeper Security的治理、风险与合规分析师Teresa Rothaar表示：“更多的应用和系统
coupled with 增加的复杂性，便会创造出更多的漏洞。”

代码的寒武纪大爆发

随着软件的快速发展，随之而来的是大量的漏洞代码。然而，尽管行业和联邦政府采取了一些措施来发现和修复商业和开源软件中未被发现的漏洞，但用于这些项目的资金和资源往往只能解决问题的表面。

最近在野外被利用的一些已知漏洞仍是由于“常见的根本问题”造成的。美国网络安全和基础设施安全局（CISA）的执行助理主管Eric Goldstein告诉SCMedia，例如使用不安全的编程语言或未能减