لتعزيز التعامل مع فجوة تصحيح الأمان، أعلنت جوجل اليوم أن متصفح Chrome سيتبنى الآن تحديثات أسبوعية لقناة الإصدار المستقر.
يتلقى متصفح جوجل تحديثات “إصدار” كبير كل أربعة أسابيع (كانت سابقًا كل ستة أسابيع)، مثل التحول من الإصدار 100 إلى 101. في الماضي، كان متصفح Chrome يتلقى تحديثًا “للإصدار الثابت” لـ “معالجة الأمان والمشكلات الأخرى ذات التأثير العالي” في الفترة بين الإصدارين كل أسبوعين.
الآن، تغير هذا ليحدث أسبوعيًا بين النسخ، ابتداءً من إصدار Google Chrome 116 على أجهزة سطح المكتب والهواتف المحمولة، حتى تصل التحديثات الأمنية إلى المستخدمين النهائيين بشكل أسرع.
نظرًا لأن Chromium هو مشروع مفتوح المصدر، “يمكن لأي شخص عرض الشيفرة المصدرية، وتقديم التغييرات للمراجعة، ورؤية التغييرات التي أدلى بها أي شخص آخر، حتى تصحيحات أمان البرامج.”
لدي هذه الشفافية فوائد في اختبار الإصلاحات واكتشاف الأخطاء، ولكنه يأتي بتكلفة: يمكن أن يستفيد المهاجمون السيئون من رؤية هذه الإصلاحات وتطوير استغلالات لتطبيقها ضد مستخدمي المتصفح الذين لم يتلقوا الإصلاح بعد. يشار إلى استغلال الثغرة الأمنية المعروفة والمصلحة باسم استغلال n-day.
تصف Google العملية على النحو التالي:
عندما يتم إصلاح ثغرة أمان في Chrome، يتم إدراج الإصلاح في مستودع الشيفرة المصدرية العام لـ Chromium. يمكن الوصول إلى الإصلاح ثم اكتشافه علنيًا. بعد إدراج الإصلاح، يعمل الأفراد عبر Chrome على اختبار والتحقق من الإصلاح، وتقييم إصلاحات ثغرات الأمان للعودة إلى فروع الإصدار المتأثرة. تنتظر إصلاحات الأمان التي تؤثر على القناة المستقرة التحديث التالي للقناة المستقرة بمجرد إجراء عملية الإصلاح. الوقت بين إدراج الإصلاح وشحنه في تحديث القناة المستقرة هو فجوة الإصلاح.
الفجوة الحالية للإصلاح تبلغ حوالي 15 يومًا. كانت 35 يومًا سابقًا قبل التبديل إلى تحديثات الإصلاح كل أسبوعين في عام 2020. تتوقع جوجل أن تؤدي تحديثات الإصلاح الأسبوعية إلى شحن إصلاحات الأمان “3.5 أيام على المتوسط بشكل أسرع، مما يقلل بشكل كبير من النافذة الصغيرة بالفعل لمهاجمي n-day لتطوير واستخدام استغلال ضد الضحايا المحتملين ويجعل حياتهم أكثر صعوبة.”
هذا الجدول الزمني الجديد سيؤدي أيضًا إلى تقليل عدد التحديثات الغير مخطط لها التي تحدث عندما تكون هناك استغلالات معروفة قيد الاستعمال: “من خلال تسليم التحديثات الثابتة أسبوعيًا، نتوقع تقليل عدد التحديثات الغير مخطط لها حيث سنقوم بتسليم التحديثات بشكل أكثر تواتراً.”
ابدأ المناقشة في forum.mjbtechtips.com