谷歌宣布自Chrome 116版开始 每周发布1次稳定版更新以减少漏洞利用时间
2023-8-9 17:7:18 Author: www.landiannews.com(查看原文) 阅读量:14 收藏

据 Google Chrome 安全团队发布的最新博客,谷歌决定从 Chrome 116 正式版开始调整更迭节奏,自此版本开始谷歌会在每周发布一次稳定版更新,这里其实侧重的是子版本更新,也就是安全修复版本。

Chrome 的主要版本更新通常是每个月一次,在主要版本更新之间,谷歌会不定时发布安全更新用来解决已知安全漏洞。

但在之前谷歌的这种更新机制有个问题,那就是漏洞一般都是率先在 Chromium 上进行测试、改进、修复,而 Chromium 源代码是开放的,这意味着任何人都可以看到改动,包括安全更新。

当 Chromium 进行安全更新时,谷歌会先在 Chrome Canary 和 Dev 通道发布修复程序进行稳定性测试,没问题的话再发布到正式版。(PS:实际更新流程还有些区别,实际更新流程是研究人员在 Chrome 中发现漏洞,修复程序会先提交到 Chromium 然后再回到 Chrome。)

于是这就产生了一个问题:在修复程序抵达正式版前,攻击者是有机会利用这些漏洞的,这种也被称为 n 天利用。

谷歌宣布自Chrome 116版开始 每周发布1次稳定版更新以减少漏洞利用时间

从 2020 年的 Chrome 77 版开始,为了缩短 n 天利用,谷歌每 2 周发布一次安全更新,而在 Chrome 77 之前,补丁间隔平均为 35 天,改成 2 周更新后缩短到 15 天。

谷歌认为还有个改进空间,也就是 1 周发布 1 次更新,将补丁间隔时间缩短到 7 天,也就是 n 天利用变成了最长 7 天。

这种策略尽管还是无法彻底解决 n 天利用,不过可以让 Chrome 安全更新的平均水平提前 3.5 天,从而大幅度缩短 n 天利用时间、减少可能的危害。

不过谷歌也强调,并非所有的安全错误都用于 n 天利用,毕竟谷歌也不知道哪些漏洞在野外被利用,哪些没有。所以谷歌会将危害等级为中危和高危的都视作是被利用,从而尽可能大幅度缩短修复时间。

这段时间 Chrome 也改进了更新通知,一旦 Chrome 有新版本可用时,用户将在浏览器右上角看到重启更新、完成更新、需要更新、新版本发布之类的提示,这些提示为绿色。

如果用户很长时间没有更新,则右上角会用红色显示重新安装的提示。

版权声明:感谢您的阅读,除非文中已注明来源网站名称或链接,否则均为蓝点网原创内容。转载时请务必注明:来源于蓝点网、标注作者及本文完整链接,谢谢理解。


文章来源: https://www.landiannews.com/archives/99792.html
如有侵权请联系:admin#unsafe.sh