强大又脆弱的武器

，整个社会都会因政府的隐瞒不报而面临风险。零日漏洞在黑市奇货可居，往往能卖得高价，漏洞奖励项目则旨在鼓励发现安全漏洞并向供应商报告。修复危机意味着零日漏洞重要性降低，所谓的“旧日漏洞” (old-day) 也几乎同样有效。

为什么零日漏洞十分危险?

零日漏洞因漏洞补丁存在天数为零而得名。一旦供应商发布安全补丁，漏洞就不再称之为零日漏洞。此后，该安全漏洞便加入了可修复但没修复的旧日漏洞大军。大约十年前，一个零日漏洞就足以执行远程入侵。发现和持有任何一个零日漏洞都能让你感觉自己是网络之神。如今，不联合使用几个乃至几十个小零日漏洞，往往都无法突破 Windows 10 或苹果 iOS 等消费级操作系统中的安全缓解措施，更别提获取目标的完全控制权了。所以，当前黑市上远程执行零日漏洞的价格堪称天价。

零日漏洞举例

然而，不是所有的零日漏洞都很复杂或昂贵。流行视频会议软件 Zoom 就存在一个很恼人的零日漏洞，任何网站都可以利用该漏洞强拉用户进入 Zoom 视频会议，不经用户允许就启动用户的摄像头。不仅如此，利用该漏洞，网页可通过不停强拉用户进入非法视频会议而对 Mac 主机实施拒绝服务 (DoS) 攻击。Zoom 的 Mac 客户端还会在用户笔记本电脑上安装 Web 服务端，即便清除了该软件，仍能在用户不知道的情况下重新安装 Zoom 客户端。真的是一个非常烦人的零日漏洞。更糟的是，这么大的安全漏洞，Zoom 这么大个公司竟然响应迟缓，逼研究人员不得不直接释放零日漏洞。(注：“释放零日”指的是公布安全漏洞的细节以迫使拖沓的供应商修复他们的漏洞。)能让攻击者远程开启麦克风和摄像头这么简单的安全漏洞却尤其危险，因为这种漏洞给了罪犯窥探受害者所处环境的眼睛和耳朵，受威胁的不仅仅是电脑上的信息。这种漏洞在黑市和灰市上尤为紧俏。

零日漏洞黑市

想一举入账 150 万美元?找出合适的 iPhone 零日漏洞卖给 Zerodium，这家漏洞奖励项目领头羊的网站上宣称会支付“漏洞市场最高奖金”。Zerodium 这样的漏洞代理商只服务军事-情报机构，但专制政权的秘密警察也会购买零日漏洞利用程序去黑记者和迫害异议分子。与限制仅可销售给获准政府的灰市不同，黑市不限制买家，犯罪组织、毒枭和朝鲜或伊朗这些被灰市排斥的买家也可以在黑市买到想要的漏洞利用。至少目前来看，《瓦森纳协议》难以监管零日漏洞利用黑/灰市。《瓦森纳协议》限制离心机等军民两用技术出口至禁售国。2013 年一项控制可作恶意用途商品的提案被否决，很多

（编辑：鹰潭站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!