Google сократил промежуток между исправлениями хром в двое

исправления хром Новости

В планах на будущее дальнейшее сокращение разрыва в исправлениях, Google придется выпускать исправления безопасности для Chrome еженедельно.

На прошлой неделе инженеры по безопасности Google заявили, что они успешно сократили «разрыв в патчах» в Google Chrome с 33 до 15 дней.

Термин «промежуток между исправлениями» относится ко времени, которое требуется с момента исправления ошибки безопасности в библиотеке с открытым исходным кодом до появления того же исправления в программном обеспечении, которое использует эту конкретную библиотеку.

В современном программном ландшафте, где многие приложения полагаются на компоненты с открытым исходным кодом, «разрыв в исправлениях» считается серьезной угрозой безопасности.

Причина в том, что, когда в библиотеке с открытым исходным кодом исправлена ​​ошибка безопасности, подробности об этой ошибке становятся общедоступными, в первую очередь, из-за открытого характера и открытости большинства проектов с открытым исходным кодом.

Затем хакеры могут использовать сведения об этих недостатках безопасности для создания эксплойтов и запуска атак на программное обеспечение, которое опирается на уязвимый компонент, прежде чем у производителя программного обеспечения появится возможность выпустить исправление.

Если производитель программного обеспечения работает по фиксированному графику выпуска, а обновления выходят каждые несколько недель или месяцев, разрыв в исправлении может предоставить хакерам окно атаки, с которым большинство программных проектов не могут справиться.

Веб-браузер Chrome — один из таких проектов, на который влияет разрыв в патчах, поскольку он использует большое количество компонентов с открытым исходным кодом — от библиотеки просмотра PDFium PDF до движка JavaScript V8, и это лишь некоторые из них.

В 2019 году исследователи безопасности из Exodus Intelligence в двух случаях указали, что злоумышленники могут использовать большой разрыв в Chrome.

Сначала в апреле , а затем в сентябре исследователи Exodus разработали проверочный код для эксплойта для ошибок безопасности, исправленных в механизме JavaScript V8, которые еще не проникли в кодовую базу Chrome.

GOOGLE ПРИНЯЛ К СВЕДЕНИЮ

Хорошей новостью для пользователей Chrome является то, что исследования команды Exodus по этой теме и последующие предупреждения не остались без внимания команды Chrome Security.

В недавно опубликованном ежеквартальном отчете о безопасности Chrome за 4 квартал 2019 года инженеры Google заявили, что они работали над уменьшением пробела в исправлениях Chrome.

«Сейчас мы выпускаем регулярные обновления каждые две недели, содержащие последние серьезные исправления безопасности», — сказал Эндрю Р. Уолли , член команды Chrome Security.

«Это привело к снижению среднего« промежутка между обновлениями »с 33 дней в Chrome 76 до 15 дней в Chrome 78, и мы продолжаем работать над его улучшением», — добавил он.

ОБНОВЛЕНИЯ БЕЗОПАСНОСТИ CHROME КАЖДУЮ НЕДЕЛЮ?

Как объяснил Уолли, ответ Google на сокращение пробела в исправлениях Chrome состоял в том, чтобы чаще выпускать исправления безопасности. С учетом того, что Google планирует еще больше сократить разрыв в исправлениях, это, скорее всего, означает, что вскоре мы сможем выпускать исправления безопасности Chrome на еженедельной основе, поскольку инженеры Google отправляют критические исправления безопасности из библиотек с открытым исходным кодом в пользовательские браузеры Chrome.

Поскольку в Chrome предусмотрен механизм автоматического обновления, который по умолчанию включен для всех пользователей, в большинстве случаев конечным пользователям Chrome не нужно предпринимать никаких действий для получения исправлений.

Подобные проблемы с «разрывом патчей» также влияют на второй крупный программный проект Google, ОС Android , который также опирается на большое количество компонентов с открытым исходным кодом. Однако поставка обновлений безопасности для Android — это … беспорядок, мягко говоря.

Оцените статью
Chrome World по-русски
Добавить комментарий