Хакер #305. Многошаговые SQL-инъекции
Разработчики браузера Chrome сообщили, что приняли решение изменить расписание выхода обновлений: теперь патчи будут выходить не раз в две недели, а раз в неделю. Этот шаг должен улучшить ситуацию с так называемым patch gap, то есть слишком долгим отсутствием исправлений, за счет которого злоумышленники получают дополнительное время для эксплуатации n-day и 0-day уязвимостей.
Новый график выхода исправлений вступает в силу с релизом Google Chrome 116, вышедшего на этой неделе.
В Google объясняют, что Chromium — это опенсорсный проект, имеющий соответствующую прозрачность. То есть любой может в режиме реального времени просматривать его исходный код, тщательно изучать обсуждения разработчиков, коммиты и исправления, сделанные участниками.
Увы, такая прозрачность имеет свою цену и позволяет злоумышленникам обнаруживать и эксплуатировать баги еще до того, как патчи достигнут конечных пользователей и стабильных выпусков Chrome.
«Злоумышленники могут воспользоваться информацией об исправлениях и разработать эксплоиты для атак на пользователей браузеров, которые еще не получили патчи. Такое использование известной, но уже исправленной проблемы, называется эксплуатацией n-day уязвимостей», — объясняют инженеры Google.
Упомянутым выше термином patch gap называют промежуток времени, который проходит между выпуском исправления для тестирования и последующим выходом этого же патча для основной массы пользователей.
В Google впервые о проблеме patch gap заговорили еще несколько лет назад, когда разрыв между выходом патчей в среднем составлял 35 дней. С выходом Chrome 77 компания перешла на выпуск обновлений раз в две недели, чтобы попытаться сократить это отставание.
Теперь, переходя на еженедельные обновления, Google стремится еще больше сократить этот разрыв и уменьшить окно возможностей для эксплуатации n-day проблем до одной недели. Кроме того, новый график обновлений должен сократить и количество внеплановых патчей.