Търсене
Close this search box.

Google ще бори хакерите със седмични ъпдейти на Chrome

Google промени графика на актуализациите за сигурност на Google Chrome от двуседмичен на седмичен, за да се справи с нарастващия проблем с пропуските в кръпките, които дават на  заплахите допълнително време да използват публикувани n-day и zero-day недостатъци.

Този нов график ще започне с Google Chrome 116, чието пускане е планирано за днес.

Google обяснява, че Chromium е проект с отворен код, който позволява на всеки да преглежда изходния му код и да проучва в реално време дискусиите с разработчиците, поправките, направени от сътрудниците.

След това тези промени, поправки и актуализации на сигурността се добавят към версиите за разработка на Chrome (Beta/Canary), където се тестват за стабилност, производителност или проблеми със съвместимостта, преди да бъдат добавени към стабилната версия на Chrome.

Намаляването на интервала между актуализациите ще спре експлоатирането на недостатъци, които изискват по-сложни пътища за експлоатиране, които на свой ред изискват повече време за разработване.

Въпреки това има някои уязвимости, за които злонамерените хакери могат да изградят ефективна експлойт схема, използвайки известни техники, и тези случаи ще останат проблем.

Дори и в тези случаи обаче активната експлоатация пак ще бъде сведена до максимум седем дни в най-лошия случай, като се има предвид, че потребителите прилагат актуализациите на сигурността веднага щом станат достъпни.

„Не всички поправки на грешки в сигурността се използват за n-дневна експлоатация. Но ние не знаем кои бъгове се експлоатират на практика и кои не, затова третираме всички критични и високосериозни бъгове така, сякаш ще бъдат експлоатирани“, обяснява Ейми Реслър, член на екипа по сигурността на Chrome.

„Много работа се полага, за да се гарантира, че тези грешки ще бъдат оценени и отстранени възможно най-скоро.“

„Вместо поправките да стоят и да чакат да бъдат включени в следващата двуседмична актуализация, седмичните актуализации ще ни позволят да ви предоставим по-рано важни поправки на грешки в сигурността и да защитим по-добре вас и вашите най-чувствителни данни.“

В крайна сметка новата честота на актуализациите ще намали нуждата от непланирани актуализации, позволявайки на потребителите и системните администратори да се придържат към по-последователен график за поддръжка на сигурността.

Разликата в броя на кръпките на уязвимостите се превърна в огромен проблем и за Android, като Google наскоро предупреди, че n-дневните недостатъци са станали толкова опасни, колкото и нулевите дни.

За съжаление екосистемата на Android значително затруднява контрола от страна на Google, тъй като в много случаи ще бъде пусната кръпка, а на производителите ще им отнеме месеци, за да я въведат в операционните системи на телефоните си.

Тази прозрачност обаче си има цена, тъй като позволява на напредналите  заплахи да идентифицират недостатъци, преди поправките да достигнат до масовата потребителска база на стабилните версии на Chrome, и да ги използват в дивата природа.

„Лошите типове биха могли евентуално да се възползват от видимостта на тези поправки и да разработят експлойти, които да приложат срещу потребители на браузъра, които все още не са получили поправката“, се казва в съобщението на Google.

„Това използване на известен и поправен проблем със сигурността се нарича n-day exploitation“.

Разликата в броя на поправките е времето, което е необходимо, за да бъде пусната поправка на сигурността за тестване и за да бъде окончателно разпространена сред основното население в публичните версии на софтуера.

Google идентифицира проблема преди години, когато разликата в броя на кръпките е била средно 35 дни, а през 2020 г. С пускането на Chrome 77 тя премина към двуседмични актуализации, за да се опита да намали този брой.

С преминаването към ежеседмични стабилни актуализации Google допълнително намалява разликата във времето на  кръпките и свежда прозореца с възможност за експлоатация за n дни до една седмица.

Макар че това определено е стъпка в правилната посока и ще се отрази положително на сигурността на Chrome, важно е да се подчертае, че тя не е идеална в смисъл, че няма да спре всички n-дневни експлойти.

 

Източник: По материали от Интернет

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
10/04/2024

Chrome Enterprise дава Prem...

Google обяви нова версия на своя...
09/04/2024

Google Chrome добавя V8 San...

Google обяви поддръжка на т.нар. пясъчна...
08/04/2024

NIS2: От риск към възможност

На 02.04.2024 г. в столичния ИНТЕР...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!