У Chrome есть проблема с безопасностью — вот как Google ее исправляет

Дядя Влад
Значок Google Chrome в доке Mac.
PixieMe / Shutterstock

Google стремится опередить серьезные уязвимости в своем браузере Chrome, сократив время между обновлениями безопасности.

Бренд надеется, что более частые обновления дадут злоумышленникам меньше времени для доступа и использования уязвимостей n-day и zero-day, обнаруженных в коде браузера Chrome.

По состоянию на среду бренд выпустил Google Chrome 116, который включает в себя новое расписание. Раньше обновления для Chrome выходили раз в две недели, теперь Chrome будет получать еженедельные обновления безопасности.

Благодаря природе Chromium с открытым исходным кодом любой может получить доступ к исходному коду браузера Chrome, «отправить изменения на проверку и увидеть изменения, внесенные кем-либо еще, даже исправления ошибок безопасности», — говорится в блоге Google о безопасности .

Как правило, члены сообщества каналов Google Canary и Beta уведомляют бренд о различных проблемах со стабильностью, совместимостью или производительностью, которые могут быть решены до того, как стабильные обновления будут опубликованы. Эта открытость обоюдоострая; однако, поскольку злоумышленники имеют такой же доступ, как и добросовестные пользователи, что позволяет им в режиме реального времени получать сведения об уязвимостях, прежде чем обновления будут развернуты для широкого круга общедоступных пользователей. В случае использования такая атака называется эксплуатацией n-day.

Вот почему Google надеется, что сокращение времени между обновлениями безопасности поможет удержать недобросовестных пользователей от получения информации об уязвимостях в коде Chromium. Обычно время между обновлениями безопасности используется для тестирования перед публичным выпуском. Google впервые заметил эту проблему в 2020 году, когда разрыв между обновлениями составлял примерно 35 дней. Затем он перешел на двухнедельное расписание обновлений с выпуском Chrome 77.

Бренд отметил, что этот последний график по-прежнему не будет сдерживать все эксплойты n-day, но может еще больше минимизировать их. На практике более частые обновления безопасности дают злоумышленникам меньше времени для использования уязвимостей, требующих подробного описания путей и большего времени разработки. Со временем также существует вероятность того, что злоумышленники найдут способы создавать более быстрые эксплойты.

Существует также вероятность того, что частота обновлений безопасности может в конечном итоге сократиться еще больше, поскольку исправления будут развертываться, как только они станут доступны.

Google заявил, что теперь он устраняет «все критические и серьезные ошибки, как если бы они были использованы».

Несмотря на это, бренд пришел к выводу, что эксплойты n-day столь же опасны, как и эксплойты нулевого дня , которые представляют собой уязвимости, которые ранее были неизвестны и, следовательно, не были устранены с помощью исправления или обновления.

Google также недавно объявила о своих планах включить отдельную поддержку браузера Chrome для ChromeOS начиная с версии ChromeOS 116. Это обновление принесет особую пользу Chromebook, продлив жизнь нетбуков намного дольше, чем их обычный срок службы программного обеспечения. Релиз ChromeOS 116 запланирован на 22 августа.