谷歌宣布,從Chrome瀏覽器116版本開始,其安全更新頻率將從過去的每兩周一次壓縮為每周一次,以解決攻擊者通過補丁更新的時間間隔,利用N Day和0 Day漏洞進行攻擊活動。

谷歌表示,Chromium 是一個開源項目,任何人都可以查看其源代碼并提交漏洞修復,這些更改、修復和安全更新將添加到 Chrome 的開發版本(Beta/Canary)中,并在將其推送到正式穩定版 Chrome 之前對其進行穩定性、性能或兼容性問題測試。

這一機制雖然有良好的透明度,但也讓攻擊者有可乘之機,即在這些修復正式推送到穩定版 Chrome的龐大用戶群之前在野外利用這些漏洞。

谷歌早在幾年前就發現了這個問題,當時補丁間隔平均為 35 天,而在 2020 年,隨著 Chrome 77 的發布,谷歌將間隔縮短為每兩周更新一次,

通過壓縮到每周的更新,Google 進一步縮短了補丁間隔,并將N Day漏洞的利用窗口機會減少到一周,從而可以有效阻止需要更復雜利用路徑的漏洞利用。這無疑會對 Chrome 的安全性產生積極影響,但仍不能避免攻擊者使用已知技術對某些漏洞進行有效利用。

需要注意的是,Android的生態系統讓谷歌難以控制,很多情況下,谷歌發布的補丁需要幾個月的時間才能將其引入第三方廠家生產的設備中。

信息安全 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接