Google промени графика на актуализациите за сигурност на Google Chrome от двуседмичен на седмичен, за да се справи с нарастващия проблем с пропуските в кръпките, които дават на  заплахите допълнително време да използват публикувани n-day и zero-day недостатъци.

Този нов график ще започне с Google Chrome 116, чието пускане е планирано за днес.

Google обяснява, че Chromium е проект с отворен код, който позволява на всеки да преглежда изходния му код и да проучва в реално време дискусиите с разработчиците, поправките, направени от сътрудниците.

След това тези промени, поправки и актуализации на сигурността се добавят към версиите за разработка на Chrome (Beta/Canary), където се тестват за стабилност, производителност или проблеми със съвместимостта, преди да бъдат добавени към стабилната версия на Chrome.

Намаляването на интервала между актуализациите ще спре експлоатирането на недостатъци, които изискват по-сложни пътища за експлоатиране, които на свой ред изискват повече време за разработване.

Въпреки това има някои уязвимости, за които злонамерените хакери могат да изградят ефективна експлойт схема, използвайки известни техники, и тези случаи ще останат проблем.

Дори и в тези случаи обаче активната експлоатация пак ще бъде сведена до максимум седем дни в най-лошия случай, като се има предвид, че потребителите прилагат актуализациите на сигурността веднага щом станат достъпни.

„Не всички поправки на грешки в сигурността се използват за n-дневна експлоатация. Но ние не знаем кои бъгове се експлоатират на практика и кои не, затова третираме всички критични и високосериозни бъгове така, сякаш ще бъдат експлоатирани“, обяснява Ейми Реслър, член на екипа по сигурността на Chrome.

„Много работа се полага, за да се гарантира, че тези грешки ще бъдат оценени и отстранени възможно най-скоро.“

„Вместо поправките да стоят и да чакат да бъдат включени в следващата двуседмична актуализация, седмичните актуализации ще ни позволят да ви предоставим по-рано важни поправки на грешки в сигурността и да защитим по-добре вас и вашите най-чувствителни данни.“

В крайна сметка новата честота на актуализациите ще намали нуждата от непланирани актуализации, позволявайки на потребителите и системните администратори да се придържат към по-последователен график за поддръжка на сигурността.

Разликата в броя на кръпките на уязвимостите се превърна в огромен проблем и за Android, като Google наскоро предупреди, че n-дневните недостатъци са станали толкова опасни, колкото и нулевите дни.

За съжаление екосистемата на Android значително затруднява контрола от страна на Google, тъй като в много случаи ще бъде пусната кръпка, а на производителите ще им отнеме месеци, за да я въведат в операционните системи на телефоните си.

Тази прозрачност обаче си има цена, тъй като позволява на напредналите  заплахи да идентифицират недостатъци, преди поправките да достигнат до масовата потребителска база на стабилните версии на Chrome, и да ги използват в дивата природа.

„Лошите типове биха могли евентуално да се възползват от видимостта на тези поправки и да разработят експлойти, които да приложат срещу потребители на браузъра, които все още не са получили поправката“, се казва в съобщението на Google.

„Това използване на известен и поправен проблем със сигурността се нарича n-day exploitation“.

Разликата в броя на поправките е времето, което е необходимо, за да бъде пусната поправка на сигурността за тестване и за да бъде окончателно разпространена сред основното население в публичните версии на софтуера.

Google идентифицира проблема преди години, когато разликата в броя на кръпките е била средно 35 дни, а през 2020 г. С пускането на Chrome 77 тя премина към двуседмични актуализации, за да се опита да намали този брой.

С преминаването към ежеседмични стабилни актуализации Google допълнително намалява разликата във времето на  кръпките и свежда прозореца с възможност за експлоатация за n дни до една седмица.

Макар че това определено е стъпка в правилната посока и ще се отрази положително на сигурността на Chrome, важно е да се подчертае, че тя не е идеална в смисъл, че няма да спре всички n-дневни експлойти.

 

Източник: По материали от Интернет

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
11 февруари 2025

Lee Enterprises се възстановява от кибератака

Вестникарската компания очаква разследването да отнеме известно вре...
11 февруари 2025

Над 12 000 защитни стени KerioControl са изложе...

Над дванадесет хиляди екземпляра на защитната стена GFI KerioContro...
Бъдете социални
Още по темата
11/02/2025

Ключови фигури от Phobos и ...

Координирана международна акция на правоприлагащите органи...
07/02/2025

Хакер, атакувал НАТО и арми...

Испанските власти обявиха, че е арестувано...
05/02/2025

ГДБОП ликвидира платформи з...

Дирекция „Киберпрестъпност“ при ГДБОП – МВР...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!