Η Google θα καταπολεμήσει τους χάκερ με εβδομαδιαίες ενημερώσεις ασφαλείας του Chrome

Η Google άλλαξε το χρονοδιάγραμμα ενημερώσεων ασφαλείας του Google Chrome από δύο φορές την εβδομάδα σε εβδομαδιαία για να αντιμετωπίσει το αυξανόμενο πρόβλημα του κενού ενημέρωσης κώδικα που επιτρέπει στους φορείς απειλών επιπλέον χρόνο για να εκμεταλλευτούν τις δημοσιευμένες ατέλειες n-day και zero-day.

Αυτό το νέο πρόγραμμα θα ξεκινήσει με το Google Chrome 116, που έχει προγραμματιστεί να κυκλοφορήσει σήμερα.

Η Google εξηγεί ότι το Chromium είναι ένα έργο ανοιχτού κώδικα, το οποίο επιτρέπει σε οποιονδήποτε να δει τον πηγαίο κώδικα του και να ελέγξει εξονυχιστικά τις συζητήσεις, τις δεσμεύσεις και τις διορθώσεις που έγιναν από τους συντελεστές σε πραγματικό χρόνο.

Αυτές οι αλλαγές, οι επιδιορθώσεις και οι ενημερώσεις ασφαλείας προστίθενται στη συνέχεια στις εκδόσεις ανάπτυξης του Chrome (Beta/Canary), όπου ελέγχονται για ζητήματα σταθερότητας, απόδοσης ή συμβατότητας προτού προωθηθούν στη σταθερή έκδοση του Chrome.

Ωστόσο, αυτή η διαφάνεια έχει ένα κόστος, καθώς επιτρέπει επίσης στους προχωρημένους παράγοντες απειλών να εντοπίζουν ελαττώματα προτού οι διορθώσεις φτάσουν σε μια τεράστια βάση χρηστών σταθερών εκδόσεων Chrome και τις εκμεταλλευτούν στη φύση.

«Οι κακοί ηθοποιοί θα μπορούσαν ενδεχομένως να εκμεταλλευτούν την ορατότητα αυτών των επιδιορθώσεων και να αναπτύξουν εκμεταλλεύσεις για να εφαρμόσουν σε χρήστες του προγράμματος περιήγησης που δεν έχουν λάβει ακόμη την επιδιόρθωση», αναφέρει

Η ανακοίνωση της Google

.

“Αυτή η εκμετάλλευση ενός γνωστού και διορθωμένου ζητήματος ασφαλείας αναφέρεται ως εκμετάλλευση n-day.”

Το κενό ενημέρωσης κώδικα είναι ο χρόνος που χρειάζεται μια επιδιόρθωση ασφαλείας για να κυκλοφορήσει για δοκιμή και για να προωθηθεί τελικά στον κύριο πληθυσμό στις δημόσιες εκδόσεις λογισμικού.

Η Google εντόπισε το πρόβλημα πριν από χρόνια, όταν το χάσμα ενημέρωσης κώδικα ήταν κατά μέσο όρο 35 ημέρες και το 2020. Με την κυκλοφορία του Chrome 77, άλλαξε σε διεβδομαδιαίες ενημερώσεις για να προσπαθήσει να μειώσει αυτόν τον αριθμό.

Με τη μετάβαση σε εβδομαδιαίες σταθερές ενημερώσεις, η Google ελαχιστοποιεί περαιτέρω το χάσμα ενημέρωσης κώδικα και μειώνει το παράθυρο της ευκαιρίας εκμετάλλευσης n ημερών σε μία εβδομάδα.

Αν και αυτό είναι σίγουρα ένα βήμα προς τη σωστή κατεύθυνση και θα επηρεάσει θετικά την ασφάλεια του Chrome, είναι σημαντικό να υπογραμμίσουμε ότι δεν είναι ιδανικό με την έννοια ότι δεν θα σταματήσει την εκμετάλλευση όλων των ημερών.

Η μείωση του διαστήματος μεταξύ των ενημερώσεων θα σταματήσει την εκμετάλλευση ελαττωμάτων που απαιτούν πιο σύνθετες διαδρομές εκμετάλλευσης, οι οποίες με τη σειρά τους απαιτούν περισσότερο χρόνο για να αναπτυχθούν.

Ωστόσο, υπάρχουν ορισμένα τρωτά σημεία για τα οποία οι κακόβουλοι παράγοντες μπορούν να δημιουργήσουν ένα αποτελεσματικό exploit χρησιμοποιώντας γνωστές τεχνικές και αυτές οι περιπτώσεις θα παραμείνουν πρόβλημα.

Ακόμη και σε αυτές τις περιπτώσεις, ωστόσο, η ενεργή εκμετάλλευση θα εξακολουθεί να μειωθεί σε επτά ημέρες το πολύ στη χειρότερη περίπτωση, δεδομένου ότι οι χρήστες εφαρμόζουν ενημερώσεις ασφαλείας μόλις γίνουν διαθέσιμες.

“Δεν χρησιμοποιούνται όλες οι επιδιορθώσεις σφαλμάτων ασφαλείας για εκμετάλλευση n-day. Αλλά δεν γνωρίζουμε ποια σφάλματα αξιοποιούνται στην πράξη και ποια όχι, επομένως αντιμετωπίζουμε όλα τα κρίσιμα και υψηλής σοβαρότητας σφάλματα σαν να πρόκειται να εκμεταλλευτούν.” εξηγεί το μέλος της Ομάδας Ασφαλείας του Chrome, Amy Ressler.

«Πολλή δουλειά χρειάζεται για να διασφαλίσουμε ότι αυτά τα σφάλματα θα λυθούν και θα διορθωθούν το συντομότερο δυνατό».

“Αντί να έχουμε διορθώσεις και να περιμένουμε να συμπεριληφθούν στην επόμενη διεβδομαδιαία ενημέρωση, οι εβδομαδιαίες ενημερώσεις θα μας επιτρέψουν να λάβουμε σημαντικές διορθώσεις σφαλμάτων ασφαλείας σε εσάς νωρίτερα και να προστατεύσουμε καλύτερα εσάς και τα πιο ευαίσθητα δεδομένα σας.”

Τελικά, η νέα συχνότητα ενημέρωσης θα μειώσει την ανάγκη για μη προγραμματισμένες ενημερώσεις, επιτρέποντας στους χρήστες και τους διαχειριστές συστήματος να τηρούν ένα πιο συνεπές χρονοδιάγραμμα συντήρησης ασφαλείας.

Το χάσμα ενημέρωσης κώδικα ευπάθειας έχει γίνει επίσης τεράστιο πρόβλημα για το Android, με την Google να προειδοποιεί πρόσφατα ότι τα ελαττώματα της ημέρας n έχουν γίνει εξίσου επικίνδυνα με τις μηδενικές ημέρες.

Δυστυχώς, το οικοσύστημα Android καθιστά πολύ πιο δύσκολο τον έλεγχο της Google, καθώς σε πολλές περιπτώσεις θα κυκλοφορήσει ένα patch και θα χρειαστούν μήνες οι κατασκευαστές για να το εισαγάγουν στα λειτουργικά συστήματα του τηλεφώνου τους.