上周，谷歌攻擊Chrome Security 團隊的解釋 Adrian Taylor，在一篇谷歌安全博客文章中解釋了“為何在野外被利用的野外 CVE 漏洞似乎有所增加”。對于這種漏洞利用的為何可見性增長趨勢，歸咎于多個方面的增加中因素。而谷歌旗下的瀏覽 Project Zero 團隊，也有對包括 WebKit、器安全形IE、勢穩Flash、谷歌攻擊Firefox 和 Chrome 在內的解釋所有已識別的瀏覽器零日漏洞展開追蹤。

（來自：Google Security Blog）

從 2019 到 2021 年，野外Chrome 上的為何這些漏洞利用增勢非常明顯。但在 2015 到 2018 年，增加中Chrome 卻沒有記錄到零日漏洞。瀏覽

Chrome Security 團隊解釋稱，器安全形雖然這并不意味著完全沒有針對 Chromium 內核的瀏覽器漏洞利用，但由于缺乏完整的歸納試圖，可用數據或存在抽樣偏差。

那為何大家還是感覺漏洞變多了呢？Chrome Security 將之歸結于四個可能的原因 ——（1）供應商透明度、（2）攻擊者焦點的演變、（3）站點隔離項目的完工、以及（4）軟件錯誤的復雜性。

● 首先，許多瀏覽器廠商都在一改往日的做法，主動通過各自的渠道來披露此類漏洞利用的詳情。

● 其次，攻擊者的關注點發生了轉移。隨著 Microsoft Edge 于 2020 年初切換至 Chromium 渲染引擎，攻擊者也自然地盯上了更廣泛的受眾群體。

● 第三，錯誤的增加，或源于最近完成的持續多年的站點隔離項目 —— 其使得一個 bug 的出現，不至于對全局造成過大的傷害。

● 第四，基于軟件存在 bug 這一簡單事實，我們必須承認其中有一小部分可被攻擊者拿來利用。隨著瀏覽器與操作系統變得日益復雜，更多的錯誤也是難以避免。

零日漏洞趨勢

綜上所述，漏洞數量已不再和安全風險直接畫等號。即便如此，Chrome 團隊仍保證他們會在發布前，努力檢測并修復錯誤。

在利用已知漏洞的 n-day 攻擊方面，其“補丁空窗期”已顯著減少（Chrome 為 35 天 / 平均 76~18 天）。此外為了防患于未然，Chrome 團隊還在努力讓攻擊變得更加復雜和代價高昂。

在具體正在實施的改進中，包括了不斷增強的站點隔離，尤其是針對 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 項目、內存安全編程語言等新組件，以及被野外利用后的緩解措施等。

最后，對于普通用戶來說，最簡單的應對方法，就是在看到 Chrome 更新提醒的第一時間執行操作。