Chrome存在一个安全漏洞,但Google正在修复 | ENBLE
Chrome安全漏洞修复中 | ENBLE
Google希望通过缩短更新安全补丁的时间来应对Chrome浏览器上的高危漏洞。
该品牌希望更频繁的更新能够让黑客在访问和利用Chrome浏览器代码中的n-day和零-day漏洞时有更少的时间。
从本周三开始,该品牌推出了Google Chrome 116版本,其中包含了新的更新计划。之前是每两周更新一次,现在Chrome将会获得每周的安全更新。
谷歌在其安全博客上表示,由于Chromium具有开源性质,任何人都可以访问Chrome浏览器源代码,“提交变更进行审查,并查看任何其他人所做的更改,甚至包括安全漏洞修复”。通常,来自谷歌的Canary和Beta渠道的社区成员会在向公众发送稳定更新之前通知该品牌各种稳定性、兼容性或性能问题。然而,这种开放性具有双重性质,因为恶意用户和善意用户具有相同的访问权限,使得他们能够在更新部署给广大公众用户之前实时获得漏洞的详细信息。如果利用这种情况,这种攻击被称为n-day攻击。
这就是为什么谷歌希望缩短安全更新之间的时间可以帮助阻止邪恶用户获取Chromium代码中的漏洞信息。通常,安全更新之间的时间用于进行发布前的测试。谷歌在2020年首次发现这是一个问题,当时更新之间的补丁间隔大约为35天。随后,谷歌在Chrome 77的发布时切换到了每两周更新一次的计划。
该品牌指出,这个最新的计划仍然无法完全阻止所有n-day攻击,但可以进一步减少它们。实践中,更频繁的安全更新提供了更少的时间,使那些需要详细路径和更多开发时间的漏洞难以被黑客利用。随着时间的推移,邪恶用户也有可能找到更快的攻击方式。
安全更新的频率还有可能进一步缩短,随时待命以便立即部署补丁。
谷歌表示它现在将“将所有关键和高危漏洞视为将被利用的漏洞”。
即使如此,该品牌已经开始将n-day攻击视为与零-day攻击一样危险。零-day攻击是指以前未知且尚未通过补丁或更新解决的漏洞。
谷歌最近还宣布计划在ChromeOS 116版本发布时为Chrome浏览器启用独立的Chrome浏览器支持。此更新将特别有利于Chromebook,将延长这些笔记本电脑的软件寿命。ChromeOS 116版本的发布计划在8月22日。
