在最近的Chrome博客中，”CVE-1234-567的漏洞存在于野外 “这句话似乎越来越多。对于大多数Chrome用户来说，这可以理解为是一种警示。然而，虽然漏洞的增加可能确实令人担忧，但Chrome Security解释说，这一趋势也可能表明对漏洞的可见度增加。那么，是哪种情况呢？

Chrome Security的Adrian Taylor在博客中表示，这一趋势可能是由这两个原因造成的，以澄清这方面的一些误解。

零点计划 “追踪了所有已确认的浏览器野战零日漏洞，包括WebKit、Internet Explorer、Flash、Firefox和Chrome。

从2019年到2021年，Chrome浏览器中这些漏洞的增加是相当明显的。相反，从2015年到2018年，Chrome浏览器中没有记录的零日漏洞。Chrome Security澄清说，这可能并不意味着在这些年里，基于Chromium的浏览器完全 “没有 “利用。它承认对活跃的利用没有完整的看法，现有数据可能有抽样偏差。

那么，为什么现在会有大量的漏洞呢？Chrome Security将此归结为四个可能的原因：供应商的透明度，攻击者的关注点的演变，网站隔离项目的完成，以及与软件错误的复杂性有关。

首先，许多浏览器制造商现在通过他们的发布通讯公布了这类漏洞的细节。这不是过去的做法，在过去，浏览器制造商即使意识到了这一点，也不会宣布一个错误正在被攻击。

第二，攻击者的关注点有了演变。在2020年初，Edge改用Chromium渲染引擎。自然，攻击者会去找最受欢迎的目标，因为这样，他们可以攻击更多的用户。

第三，错误的增加可能是由于最近完成了多年的网站隔离项目，使得一个错误几乎不足以造成很大的伤害。因此，过去只需要一个bug的攻击现在需要更多。在2015年之前，多个网页只在一个渲染器进程中，使得只用一个bug就可以从其他网页上窃取用户的数据。有了网站隔离项目，追踪者需要连锁两个bug或更多的bug来破坏渲染器进程，并跃入Chrome浏览器进程或操作系统中。

最后，这可能是由于一个简单的事实，即软件确实有bug，而其中的一小部分可以被利用。浏览器反映了操作系统的复杂性，而高复杂性相当于更多的bug。

这些事情意味着，被利用的bug数量并不是安全风险的确切衡量标准。然而，Chrome团队保证，他们正在努力工作，在发布前检测和修复漏洞。就N天攻击（对已经修复的漏洞的利用）而言，他们的 “补丁间隙 “已经明显减少，从Chrome浏览器的35天（平均76天到18天）。他们还期待着进一步减少这种情况。

尽管如此，Chrome浏览器认识到，无论他们以何种速度试图修复野蛮的剥削，这些攻击都是糟糕的。因此，他们正在非常努力地使攻击对敌人来说变得昂贵和复杂。Chrome浏览器正在进行的具体项目包括不断加强网站隔离，特别是针对安卓的网站隔离，V8堆沙箱、MiraclePtr和扫描项目，在编写新的Chrome浏览器部件时采用内存安全语言，以及漏洞后的缓解措施。

Chrome正在努力通过这些主要的安全工程项目来确保安全。不过，用户可以做一些直接的帮助。如果Chrome浏览器提醒你更新，那就去做吧。