谷歌希望通过缩短安全更新的时间间隔来解决其 Chrome 浏览器上的高严重性漏洞。
该品牌希望更频繁的更新将使不良行为者有更少的时间来访问和利用 Chrome 浏览器代码中发现的 nday 和 0day 缺陷。
截至周三,该品牌已推出 Google Chrome 116,其中包括新的时间表。 Chrome 以前每两周更新一次,现在每周都会进行安全更新。
凭借 Chromium 的开源性质,任何人都可以访问 Chrome 浏览器源代码,“提交更改以供审核,并查看其他人所做的更改,甚至是安全错误修复,”谷歌在其安全博客上表示。
通常,来自 Google Canary 和 Beta 渠道的社区成员会向品牌通报各种稳定性、兼容性或性能问题,这些问题可以在向公众发送稳定更新之前解决。这种开放性是一把双刃剑;然而,由于不良行为者与善意用户具有相同的访问权限,因此他们可以在将更新部署到广泛的公共用户之前获得有关漏洞的实时详细信息。如果被利用,这种攻击称为 n 天攻击。
这就是为什么谷歌希望缩短安全更新之间的时间可以帮助阻止恶意用户获取有关 Chromium 代码漏洞的信息。通常,安全更新之间的时间用于在公开发布之前进行测试。 Google 在 2020 年首次发现这是一个问题,当时更新之间的补丁间隔约为 35 天。随着 Chrome 77 的发布,它改为每两周更新一次。
该品牌指出,最新的时间表仍然无法阻止所有 n 天的攻击,但可以进一步减少它们。实际上,更频繁的安全更新可以减少不良行为者利用需要详细路径和更多开发时间的缺陷的时间。随着时间的推移,不良行为者也有可能找到更快地利用漏洞的方法。
还有一种可能性是,安全更新的频率最终可能会进一步缩短,补丁一发布就会立即部署。
谷歌表示,它现在正在解决“所有严重和高严重性的错误,就好像它们会被利用一样”。
即便如此,该品牌仍然认为 n 天漏洞与零日漏洞一样危险,零日漏洞是以前未知的漏洞,因此无法通过补丁或更新来解决。
谷歌最近还宣布计划从 ChromeOS 116 版本开始为 ChromeOS 启用单独的Chrome 浏览器支持。此更新将特别有利于 Chromebook,使上网本的使用寿命远远超过其典型的软件寿命。 ChromeOS 116 计划于 8 月 22 日发布。