Google宣佈從Chrome116版本開始,安全更新頻率將從過去每兩週一次壓縮為每週一次,降低攻擊者利用漏洞修補更新的時間差對N-Day和0-Day漏洞進行攻擊動。
Google表示,Chromium 是一個開源專案,任何人都可以查看其原始程式碼並提交漏洞修復。漏洞的修復和安全更新推送到正式版前,會添加到 Chrome 測試版(Beta/Canary)中,進行穩定性、性能或相容性問題測試。雖然這樣的機制有很好的透明度,但也讓攻擊者有機會在修復程式推送到正式版前,利用漏洞對Chrome用戶進行攻擊。
Google早在幾年前就發現了這個問題,當時漏洞修補間隔平均為 35 天,而在 2020 年,Chrome 77發佈時,Google將間隔縮短為每兩周更新一次。透過更加頻繁安全更新,Google縮短漏洞修補間差,希望可以降低N-day 漏洞被利用的機會。
需要注意的是,
漏洞修補間差是Andriod生態的一大問題,因為Google很難協同各個製造商、軟體開發商同步更新漏洞修補,通常他們需要幾個月的時間才能推送修補版本。
相關文章: Google: Android 世界裡零日漏洞與N日漏洞同樣危險!
本文轉載自BleepingComputer。