Google总结了2023年的安全功能：好消息是修复程序正在阻止某些类型的零日攻击。坏消息是Windows比大多数

2023年对于零日的利用来是庞大的一年；与2022年相比，去年利用了50％的零日漏洞 ，其中大多数影响了诸如Windows
，Chrome和ios之类的杂货最终用户所使用的操作系统和产品。尽管在厄运和忧郁陷入困境之前，Google在2023年的年度威胁报告中确实对软件安全有一些积极的看法 。

Google的威胁分析组（TAG）和MADEAINT跟踪他们在野外发现的所有零日安全漏洞
。安全系统中某个讨厌的人穿着长石膏外套的任何漏洞都可以利用其共同的年度报告（PDF） ，分为影响最终用户还是企业软件。

该报告的第一个收获是
，与2022年相比，2023年最终用户和企业零日漏洞都急剧增加 。它指出61个影响影响最终用户软件（例如操作系统）的利用 ，以及企业软件的36个
。相比之下
，前一年分别仅为40和22。这似乎很糟糕，但是最终用户软件在2021年以81个计数的速度差得多 。

报告中指出的最终用户漏洞最大的份额是在17岁时到达Windows ，去年增加了4个
。同比增长实际上是苹果公司自己的浏览器Safari品牌，该品牌获得了8个新的漏洞
，总体上达到了11个。

令人惊讶的是，该报告中只有少数数字被怀疑是出于财务动机 。大多数是由政府领导的间谍活动 ，或者是由商业监视供应商（CSV）进行的
，这些供应商（CSVS）实际上开发了“针对最终用户产品和平台用于政府参与者在高度针对性的运营中的利用”。一定是一个有趣的一堆
。　

Google的报告说，中华人民共和国以政府支持的剥削领先：“ PRC网络间谍团体在2023年利用12个零日脆弱性 ，高于2022年的7个
， ”该报告指出。

零日攻击可能非常危险 。从定义上讲，它们是在软件中利用漏洞的攻击 ，而软件的创建者不知道
，因此无法停止
。并非所有零日攻击都被具有邪恶意图的邪恶的人发现，但是 ，有些人会提前挖出来
，然后在“野外
”被剥削之前被修补。

好消息是，实际上认为要防止此类漏洞的投资正在起作用 ，即降低某些脆弱性的风险 。该报告在接受Google自己的努力时说，影响Chrome的任何漏洞都与往年普遍存在的所谓“无用后”利用有关
。它声称
，这是由于发布以来的多种缓解作用，以尝试修补浏览器。　

该报告还赞扬了iOS的锁定模式 ，这有助于保护对安全敏感的用户免受不良演员的侵害 。同样
，用于ARM CPU的内存标记扩展名（MTE）正在某些Android手机上推出，Google非常希望这也会产生积极的影响
。

报告说：“……很明显 ，我们作为安全研究人员和产品供应商所采取的步骤对攻击者产生了影响。 ”“但是
，我们必须认识到，随着尝试和真实的方法越来越不可行 ，我们的成功可能会表现为越来越多的产品 。
”

“简而言之
，更多的技术为剥削提供了更多的机会
。”

至于谦虚的最终用户，我能提供的最好的建议是 ，一如既往地确保尽可能频繁地更新您的软件。这样可以确保您始终保持最新的缓解
，并且不会因某些政府资助的间谍活动而犯规 。更有可能，一些不好的演员希望从出售您的数据中快速赚钱。