Google промени графика на актуализациите за сигурност на Google Chrome от двуседмичен на седмичен, за да се справи с нарастващия проблем с пропуските в кръпките, които дават на заплахите допълнително време да използват публикувани n-day и zero-day недостатъци.
Този нов график ще започне с Google Chrome 116, чието пускане е планирано за днес.
Google обяснява, че Chromium е проект с отворен код, който позволява на всеки да преглежда изходния му код и да проучва в реално време дискусиите с разработчиците, поправките, направени от сътрудниците.
След това тези промени, поправки и актуализации на сигурността се добавят към версиите за разработка на Chrome (Beta/Canary), където се тестват за стабилност, производителност или проблеми със съвместимостта, преди да бъдат добавени към стабилната версия на Chrome.
Намаляването на интервала между актуализациите ще спре експлоатирането на недостатъци, които изискват по-сложни пътища за експлоатиране, които на свой ред изискват повече време за разработване.
Въпреки това има някои уязвимости, за които злонамерените хакери могат да изградят ефективна експлойт схема, използвайки известни техники, и тези случаи ще останат проблем.
Дори и в тези случаи обаче активната експлоатация пак ще бъде сведена до максимум седем дни в най-лошия случай, като се има предвид, че потребителите прилагат актуализациите на сигурността веднага щом станат достъпни.
„Не всички поправки на грешки в сигурността се използват за n-дневна експлоатация. Но ние не знаем кои бъгове се експлоатират на практика и кои не, затова третираме всички критични и високосериозни бъгове така, сякаш ще бъдат експлоатирани“, обяснява Ейми Реслър, член на екипа по сигурността на Chrome.
„Много работа се полага, за да се гарантира, че тези грешки ще бъдат оценени и отстранени възможно най-скоро.“
„Вместо поправките да стоят и да чакат да бъдат включени в следващата двуседмична актуализация, седмичните актуализации ще ни позволят да ви предоставим по-рано важни поправки на грешки в сигурността и да защитим по-добре вас и вашите най-чувствителни данни.“
В крайна сметка новата честота на актуализациите ще намали нуждата от непланирани актуализации, позволявайки на потребителите и системните администратори да се придържат към по-последователен график за поддръжка на сигурността.
Разликата в броя на кръпките на уязвимостите се превърна в огромен проблем и за Android, като Google наскоро предупреди, че n-дневните недостатъци са станали толкова опасни, колкото и нулевите дни.
За съжаление екосистемата на Android значително затруднява контрола от страна на Google, тъй като в много случаи ще бъде пусната кръпка, а на производителите ще им отнеме месеци, за да я въведат в операционните системи на телефоните си.
Тази прозрачност обаче си има цена, тъй като позволява на напредналите заплахи да идентифицират недостатъци, преди поправките да достигнат до масовата потребителска база на стабилните версии на Chrome, и да ги използват в дивата природа.
„Лошите типове биха могли евентуално да се възползват от видимостта на тези поправки и да разработят експлойти, които да приложат срещу потребители на браузъра, които все още не са получили поправката“, се казва в съобщението на Google.
„Това използване на известен и поправен проблем със сигурността се нарича n-day exploitation“.
Разликата в броя на поправките е времето, което е необходимо, за да бъде пусната поправка на сигурността за тестване и за да бъде окончателно разпространена сред основното население в публичните версии на софтуера.
Google идентифицира проблема преди години, когато разликата в броя на кръпките е била средно 35 дни, а през 2020 г. С пускането на Chrome 77 тя премина към двуседмични актуализации, за да се опита да намали този брой.
С преминаването към ежеседмични стабилни актуализации Google допълнително намалява разликата във времето на кръпките и свежда прозореца с възможност за експлоатация за n дни до една седмица.
Макар че това определено е стъпка в правилната посока и ще се отрази положително на сигурността на Chrome, важно е да се подчертае, че тя не е идеална в смисъл, че няма да спре всички n-дневни експлойти.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.