Η Google έχει τροποποιήσει το χρονοδιάγραμμα των ενημερώσεων ασφαλείας για το Google Chrome από δύο φορές την εβδομάδα σε μία, με σκοπό να αντιμετωπίσει το αυξανόμενο πρόβλημα της κενής ενημέρωσης κώδικα, που δίνει στους κακόβουλους φορείς περισσότερο χρόνο για να εκμεταλλευτούν τις γνωστές και μη γνωστές ευπάθειες.
Δείτε επίσης: Rilide Chrome extension: Στοχεύει χρήστες επιχειρήσεων μέσω οδηγών PowerPoint
Αυτό το νέο πρόγραμμα θα ξεκινήσει με την έκδοση 116 του Google Chrome, η οποία αναμένεται να κυκλοφορήσει σήμερα. Η Google εξηγεί ότι το Chromium είναι ένα έργο ανοιχτού κώδικα που επιτρέπει σε οποιονδήποτε να δει τον πηγαίο κώδικα και να ελέγξει λεπτομερώς τις συζητήσεις, τις δεσμεύσεις και τις διορθώσεις που πραγματοποιήθηκαν από τους συντελεστές σε πραγματικό χρόνο.
Αυτές οι αλλαγές, οι διορθώσεις και οι ενημερώσεις ασφαλείας προστίθενται στις εκδόσεις ανάπτυξης του Chrome (Beta/Canary). Στο πλαίσιο αυτό, πραγματοποιείται έλεγχος για ζητήματα σταθερότητας, απόδοσης και συμβατότητας προτού προωθηθούν στη σταθερή έκδοση του Chrome. Ωστόσο, αυτή η διαφάνεια έχει ένα κόστος, καθώς επιτρέπει επίσης σε προηγμένους παράγοντες απειλών να εντοπίζουν αδυναμίες πριν οι διορθώσεις φτάσουν σε μια μεγάλη βάση χρηστών σταθερών εκδόσεων του Chrome και να τις εκμεταλλευτούν με κακόβουλο τρόπο.
Ο χρόνος που απαιτείται ώστε μια επιδιόρθωση ασφαλείας να κυκλοφορήσει για δοκιμή και να προωθηθεί στην τελική της μορφή σε δημόσιες εκδόσεις λογισμικού ονομάζεται “κενό ενημέρωσης κώδικα”.
Η Google ανίχνευσε το πρόβλημα εδώ και χρόνια, όταν η διάρκεια μεταξύ των ενημερώσεων κώδικα ήταν κατά μέσο όρο 35 ημέρες και αυτό εξακολουθεί να ισχύει. Με την κυκλοφορία της νέας έκδοσης του Chrome 77, έγινε αλλαγή στη συχνότητα των ενημερώσεων, προσπαθώντας να μειώσει τον αριθμό τους.
Με τη μετάβαση σε εβδομαδιαίες σταθερές ενημερώσεις, η Google μειώνει περαιτέρω το χάσμα στην ενημέρωση του κώδικα και μειώνει τη διάρκεια που χρειάζεται για την εκμετάλλευση n-days μέσα σε μία εβδομάδα.
Δείτε ακόμα: Incognito mode: Το Chrome επιτρέπει πλέον ασφαλή screenshot
Παρότι αυτό είναι σίγουρα ένα βήμα προς τη σωστή κατεύθυνση και θα έχει θετικές επιπτώσεις στην ασφάλεια του Chrome, είναι σημαντικό να τονίσουμε ότι δεν είναι ιδανικό με την έννοια ότι δεν θα αποτρέψει πλήρως την εκμετάλλευση καθημερινών αδυναμιών.
Η μείωση του χρονικού διαστήματος μεταξύ των ενημερώσεων θα εμποδίσει την εκμετάλλευση ελαττωμάτων που απαιτούν πιο περίπλοκες διαδρομές εκμετάλλευσης. Αυτές οι πιο περίπλοκες διαδρομές απαιτούν περισσότερο χρόνο για να αναπτυχθούν.
Ωστόσο, υπάρχουν ορισμένα ευάλωτα σημεία, στα οποία κακόβουλοι παράγοντες μπορούν να εκμεταλλευτούν γνωστές τεχνικές και να δημιουργήσουν αποτελεσματικές επιθέσεις. Αυτές οι περιπτώσεις παραμένουν πρόβλημα και απαιτούν προσοχή. Ακόμα και σε αυτές τις περιπτώσεις, η εκμετάλλευση θα παραμείνει περιορισμένη για επτά ημέρες το πολύ, στη χειρότερη περίπτωση. Αυτό συμβαίνει εφόσον οι χρήστες εγκαθιστούν τις αναβαθμίσεις ασφαλείας αμέσως μόλις γίνουν διαθέσιμες.
Τελικά, η νέα συχνότητα ενημέρωσης θα μειώσει την ανάγκη για μη προγραμματισμένες ενημερώσεις, επιτρέποντας στους χρήστες και τους διαχειριστές συστήματος να τηρούν ένα πιο συνεπές πρόγραμμα συντήρησης ασφαλείας.
Η έλλειψη ενημέρωσης του κώδικα αποτελεί επίσης σημαντικό πρόβλημα για το Android, με την Google να προειδοποιεί πρόσφατα ότι τα ελαττώματα n-day έχουν γίνει εξίσου επικίνδυνα με τ zero-days.
Δείτε επίσης: Malwarebytes: Διορθώνει το ζήτημα που προκαλεί δυσλειτουργία στο Chrome
Δυστυχώς, τo οικοσύστημα του Android καθιστά πολύ δυσκολότερο τον έλεγχο από την Google, καθώς σε πολλές περιπτώσεις απαιτείται η κυκλοφορία ενός διορθωτικού πακέτου και οι κατασκευαστές χρειάζονται μήνες για να το ενσωματώσουν στα λειτουργικά συστήματα των τηλεφώνων τους.
