百度Chrome安全团队于本周宣布,从周三(8/9)释出的Chrome 116开始,Chrome稳定版的安全更新周期便将从每两周缩短成每周,以减少Chrome与Chromium项目之间的修补落差,提高黑客利用这些已知安全漏洞的难度。
Chromium开源项目支持包括Chrome在内的许多浏览器,每个人都能够检视它的源代码、提交变更或看到安全漏洞与臭虫的修补,而Canary或Beta频道的用户则可提前收到更新,并提供兼容性及效能上的建议,然而,这也让黑客有机可趁,利用这些尚未部署于稳定版的漏洞修补来展开n-day攻击。
于是,原本Chrome的安全更新是随着每四周稳定版的出炉而进行,但从2020年的Chrome 77开始,Chrome安全团队启用了每两周的安全更新节奏,亦即在每个稳定版之间,会有另一次的安全更新。 在Chrome 77以前,Chromium与Chrome的平均修补落差是35天,启用每两周的更新频率之后,落差减少至15天。
在进入了每周的安全更新节奏之后,Chrome安全团队预期可再减少3.5天的修补落差,缩小安全漏洞的修补空窗,以提高黑客利用此一空窗期研究并开发漏洞攻击程序的难度。
以往Chrome安全团队经常会针对已被利用的安全漏洞紧急更新Chrome浏览器,在启用每周安全更新之后,可望减少这些意外的更新活动。
Chrome安全团队说明,并非所有的安全漏洞都会被用来进行n-day攻击,但他们并不知道哪些漏洞会实际遭黑客利用,因此将所有的重大与高风险漏洞都视为将遭到滥用而尽速修补。
不过,也由于安全更新频率变高了,未来一有安全更新,Chrome浏览器即会跳出更新通知,同时Google也建议用户应该立即重启Chrome以进行更新,重启后的Chrome会保留先前已开启的标签。
