GoogleChrome安全团队于本周宣布,从周三(8/9)发布的Chrome开始,Chrome稳定版的安全更新周期便将从每两周缩短成每周,以减少Chrome与Chromium项目之间的修补落差,提高黑客利用这些已知安全漏洞的难度。
Chromium开源项目支持包括Chrome在内的许多浏览器,每个人都能够查看它的源码、提交变更或看到安全漏洞与bug的修补,而Canary或Beta频道的用户则可提前收到更新,并提供兼容性及性能上的建议,然而,这也让黑客有机可乘,利用这些尚未部署于稳定版的漏洞修补来展开n-day攻击。
于是,原本Chrome的安全更新是随着每四周稳定版的出炉而进行,但从年的Chrome77开始,Chrome安全团队激活了每两周的安全更新节奏,也即在每个稳定版之间,会有另一次的安全更新。在Chrome77以前,Chromium与Chrome的平均修补落差是35天,激活每两周的更新频率之后,落差减少至15天。
在进入了每周的安全更新节奏之后,Chrome安全团队预期可再减少3.5天的修补落差,缩小安全漏洞的修补空窗,以提高黑客利用该空窗期研究并开发漏洞攻击程序的难度。
以往Chrome安全团队经常会针对已被利用的安全漏洞紧急更新Chrome浏览器,在激活每周安全更新之后,有望减少这些意外的更新活动。
Chrome安全团队说明,并非所有的安全漏洞都会被用来进行n-day攻击,但他们并不知道哪些漏洞会实际遭黑客利用,因此将所有的重大与高风险漏洞都视为将遭到滥用而尽快修补。
不过,也由于安全更新频率变高了,未来一有安全更新,Chrome浏览器即会跳出更新通知,同时Google也建议用户应该立即重启Chrome以进行更新,重启后的Chrome会保留先前已打开的分页。
联系电话: