Търсене
Close this search box.

Google промени графика на актуализациите за сигурност на Google Chrome от двуседмичен на седмичен, за да се справи с нарастващия проблем с пропуските в кръпките, които дават на  заплахите допълнително време да използват публикувани n-day и zero-day недостатъци.

Този нов график ще започне с Google Chrome 116, чието пускане е планирано за днес.

Google обяснява, че Chromium е проект с отворен код, който позволява на всеки да преглежда изходния му код и да проучва в реално време дискусиите с разработчиците, поправките, направени от сътрудниците.

След това тези промени, поправки и актуализации на сигурността се добавят към версиите за разработка на Chrome (Beta/Canary), където се тестват за стабилност, производителност или проблеми със съвместимостта, преди да бъдат добавени към стабилната версия на Chrome.

Намаляването на интервала между актуализациите ще спре експлоатирането на недостатъци, които изискват по-сложни пътища за експлоатиране, които на свой ред изискват повече време за разработване.

Въпреки това има някои уязвимости, за които злонамерените хакери могат да изградят ефективна експлойт схема, използвайки известни техники, и тези случаи ще останат проблем.

Дори и в тези случаи обаче активната експлоатация пак ще бъде сведена до максимум седем дни в най-лошия случай, като се има предвид, че потребителите прилагат актуализациите на сигурността веднага щом станат достъпни.

„Не всички поправки на грешки в сигурността се използват за n-дневна експлоатация. Но ние не знаем кои бъгове се експлоатират на практика и кои не, затова третираме всички критични и високосериозни бъгове така, сякаш ще бъдат експлоатирани“, обяснява Ейми Реслър, член на екипа по сигурността на Chrome.

„Много работа се полага, за да се гарантира, че тези грешки ще бъдат оценени и отстранени възможно най-скоро.“

„Вместо поправките да стоят и да чакат да бъдат включени в следващата двуседмична актуализация, седмичните актуализации ще ни позволят да ви предоставим по-рано важни поправки на грешки в сигурността и да защитим по-добре вас и вашите най-чувствителни данни.“

В крайна сметка новата честота на актуализациите ще намали нуждата от непланирани актуализации, позволявайки на потребителите и системните администратори да се придържат към по-последователен график за поддръжка на сигурността.

Разликата в броя на кръпките на уязвимостите се превърна в огромен проблем и за Android, като Google наскоро предупреди, че n-дневните недостатъци са станали толкова опасни, колкото и нулевите дни.

За съжаление екосистемата на Android значително затруднява контрола от страна на Google, тъй като в много случаи ще бъде пусната кръпка, а на производителите ще им отнеме месеци, за да я въведат в операционните системи на телефоните си.

Тази прозрачност обаче си има цена, тъй като позволява на напредналите  заплахи да идентифицират недостатъци, преди поправките да достигнат до масовата потребителска база на стабилните версии на Chrome, и да ги използват в дивата природа.

„Лошите типове биха могли евентуално да се възползват от видимостта на тези поправки и да разработят експлойти, които да приложат срещу потребители на браузъра, които все още не са получили поправката“, се казва в съобщението на Google.

„Това използване на известен и поправен проблем със сигурността се нарича n-day exploitation“.

Разликата в броя на поправките е времето, което е необходимо, за да бъде пусната поправка на сигурността за тестване и за да бъде окончателно разпространена сред основното население в публичните версии на софтуера.

Google идентифицира проблема преди години, когато разликата в броя на кръпките е била средно 35 дни, а през 2020 г. С пускането на Chrome 77 тя премина към двуседмични актуализации, за да се опита да намали този брой.

С преминаването към ежеседмични стабилни актуализации Google допълнително намалява разликата във времето на  кръпките и свежда прозореца с възможност за експлоатация за n дни до една седмица.

Макар че това определено е стъпка в правилната посока и ще се отрази положително на сигурността на Chrome, важно е да се подчертае, че тя не е идеална в смисъл, че няма да спре всички n-дневни експлойти.

 

Източник: По материали от Интернет

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
10/10/2024

Нов проект на Google има за...

Днес Google обяви старта на Глобалния...
10/10/2024

Marriott се съгласи да плат...

Marriott International се съгласи да плати...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!