圖片來源: 

iThome

Google Chrome安全團隊於本周宣布,從周三(8/9)釋出的Chrome 116開始,Chrome穩定版的安全更新周期便將從每兩周縮短成每周,以減少Chrome與Chromium專案之間的修補落差,提高駭客利用這些已知安全漏洞的難度。

Chromium開源專案支援包括Chrome在內的許多瀏覽器,每個人都能夠檢視它的原始碼、提交變更或看到安全漏洞與臭蟲的修補,而Canary或Beta頻道的使用者則可提前收到更新,並提供相容性及效能上的建議,然而,這也讓駭客有機可趁,利用這些尚未部署於穩定版的漏洞修補來展開n-day攻擊。

於是,原本Chrome的安全更新是隨著每四周穩定版的出爐而進行,但從2020年的Chrome 77開始,Chrome安全團隊啟用了每兩周的安全更新節奏,亦即在每個穩定版之間,會有另一次的安全更新。在Chrome 77以前,Chromium與Chrome的平均修補落差是35天,啟用每兩周的更新頻率之後,落差減少至15天。

在進入了每周的安全更新節奏之後,Chrome安全團隊預期可再減少3.5天的修補落差,縮小安全漏洞的修補空窗,以提高駭客利用此一空窗期研究並開發漏洞攻擊程式的難度。

以往Chrome安全團隊經常會針對已被利用的安全漏洞緊急更新Chrome瀏覽器,在啟用每周安全更新之後,可望減少這些意外的更新活動。

Chrome安全團隊說明,並非所有的安全漏洞都會被用來進行n-day攻擊,但他們並不知道哪些漏洞會實際遭駭客利用,因此將所有的重大與高風險漏洞都視為將遭到濫用而儘速修補。

不過,也由於安全更新頻率變高了,未來一有安全更新,Chrome瀏覽器即會跳出更新通知,同時Google也建議使用者應該立即重啟Chrome以進行更新,重啟後的Chrome會保留先前已開啟的分頁。

熱門新聞

Advertisement