2019年5月,Project Zero发布了在野使用0 day的跟踪表,我们开始更加专注于分析和学习这些漏洞。这是Project Zero试图使0 day 利用变得艰难的另一种方法。这篇文章综合了我们的许多努力以及去年的分析。我们对从2019年在在野使用的0 day漏洞利用中可以学到的内容进行了回顾。结合此文章,我们今天还发布了另一篇文章,介绍了我们的根本原因分析工作,这些工作为得出的结论提供了信息。我们还将发布8个漏洞的根本原因分析,这些漏洞已从2019年开始进行了0 day在野利用。 https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=0 https://googleprojectzero.blogspot.com/2020/07/root-cause-analyses-for-0-day-in-wild.html https://googleprojectzero.blogspot.com/p/rca.html 当我想到要写这篇“年度回顾”文章时,我立即开始集思广益,以不同的方式对数据进行切片以及得出的不同结论。我认为也许会有一些有趣的结论,说明为什么“UAF”是利用最多的bug类之一,或者在0 day的Y%的时间内如何使用给定的利用方法。在我探索的各个领域中,数据和分析得出了一个结论:我们严重缺乏检测在野使用0 day的能力,以至于我们无法得出一些结论。 文章的其余部分将详细介绍我在2019年对利用0...