Para resolver melhor a lacuna do patch de segurança , o Google anunciou hoje que o Chrome agora está adotando atualizações semanais do Stable Channel.
O navegador do Google recebe grandes atualizações de “marco” a cada quatro ( anteriormente seis ) semanas, como ir da versão 100 para a 101. No passado, o Chrome receberia uma atualização de “Atualização estável” para “corrigir a segurança e outros bugs de alto impacto” no meio marcos a cada duas semanas.
Agora, isso está mudando para ocorrer semanalmente entre os marcos, começando com o Google Chrome 116 em computadores e dispositivos móveis, para que as atualizações de segurança cheguem aos usuários finais muito mais rapidamente.
Como o Chromium é um projeto de código aberto, “qualquer pessoa pode visualizar o código-fonte, enviar alterações para revisão e ver as alterações feitas por qualquer outra pessoa, até mesmo correções de bugs de segurança”.
Essa abertura tem benefícios no teste de correções e na descoberta de bugs, mas tem um custo: pessoas mal-intencionadas podem aproveitar a visibilidade dessas correções e desenvolver exploits para aplicar contra usuários de navegadores que ainda não receberam a correção. Essa exploração de um problema de segurança conhecido e corrigido é conhecida como exploração de n dias.
O Google descreve o processo como tal:
Quando um bug de segurança do Chrome é corrigido, a correção é feita no repositório público de código-fonte do Chromium. A correção é então publicamente acessível e detectável. Depois que o patch é lançado, indivíduos em todo o Chrome estão trabalhando para testar e verificar o patch e avaliar as correções de bugs de segurança para backporting para as ramificações de lançamento afetadas. As correções de segurança que afetam o canal Stable aguardam a próxima atualização do canal Stable depois de terem sido portadas. O tempo entre o patch ser desembarcado e enviado em uma atualização de canal Stable é a lacuna do patch.
A lacuna atual do patch é de cerca de 15 dias. Anteriormente, eram 35 dias antes de mudar para atualizações de patch a cada duas semanas em 2020. O Google espera que as atualizações de patch semanais resultem no envio de correções de segurança “3,5 dias antes, em média, reduzindo bastante a janela já pequena para os invasores de n dias desenvolverem e usarem um explorar contra potenciais vítimas e tornar suas vidas muito mais difíceis”.
Essa nova programação também resultará em menos atualizações não planejadas que ocorrem quando há exploits in-the-wild conhecidos: “Ao enviar atualizações estáveis semanalmente, esperamos que o número de atualizações não planejadas diminua, pois enviaremos atualizações com mais frequência. ”
Enquanto isso, o Google está testando novas maneiras de incentivar os usuários a atualizar:
Se uma atualização estiver disponível, atualize imediatamente todas as vezes!
0 Comentários