“谷歌就是这样说我们全部人都能减少安全威胁”

谷歌的安全研究人员去年发现并修复了多个漏洞，因此将年份称为零日漏洞利用年。 在一年的回顾中，研究人员分享说，尽管距离野外零日脆弱性利用还有很长的路要走，但令人惊讶的是，其中四分之一来源于以前公开的脆弱性，很容易预防。

谷歌零项目小组的安全研究员maddie stone写道，如果进行更彻底的调查和修补工作，则可能不会使用检测出的0天漏洞利用中的4个。

在她的帖子中，为了明确与以前公开的漏洞的关系，细分了6个漏洞。 她是这样写的。 “这些零日脆弱性利用程序中，有些只要改变1行或2行代码，就会拥有新的比较有效的零日脆弱性利用程序。

她在分析团队在chrome、firefox、internet explorer、safari和windows中发现的6个漏洞时，stone指出这些漏洞是错误修正的结果。 令人惊讶的是，据她的解体，去年修补的三个洞再次没有正确修复或没有全面修复。

stone要求供应商进行所有投资，以发布涵盖所有备选方案漏洞的适当、全面的修补程序。 在许多情况下，供应商发现，只需验证概念或阻止使用示例中所示的路径，并不能整体修复漏洞。 因为这阻止了所有的路径。

stone给安全研究者带来了负担，必须在补丁的跟踪和测试方面做得更好。

她说:“我们希望在发布补丁之前与供应商就补丁和缓解措施进行更紧密的合作。 他补充说，在补丁程序的设计和实施过程中尽快合作和提供反馈对每个人都有好处。 研究人员和供应商发现，在发布后，通过合作而不是纠正二进制文件之间的差异，从而节省时间、资源和能源，漏洞并未完全纠正。

本文：《“谷歌就是这样说我们全部人都能减少安全威胁”》