Google quiere abordar de antemano las vulnerabilidades de alta gravedad del navegador Chrome al reducir el intervalo entre las actualizaciones de seguridad.
La marca espera que las actualizaciones más frecuentes den menos tiempo a los malos actores para acceder y explotar las vulnerabilidades de día n y día cero que se encuentran en el código del navegador Chrome.
A partir del miércoles, la marca ha lanzado Google Chrome 116, que incluye un nuevo calendario. Anteriormente se actualizaban cada dos semanas, y ahora Chrome se considerará una actualización de seguridad semanal.
Gracias a la naturaleza de código abierto de Chromium, cualquiera puede acceder al código fuente de Chrome, "enviando cambios para su revisión y para ver los cambios realizados por cualquier otra persona, incluso las correcciones de vulnerabilidades de seguridad", dijo Google en su blog de seguridad.
Por lo general, los miembros de la comunidad de los canales Canary y Beta de Google notifican a la marca sobre varios problemas de estabilidad, compatibilidad o rendimiento que pueden resolverse antes de que se lance una actualización estable. Esta apertura es una espada de doble filo; Sin embargo, debido a que los malos actores tienen el mismo acceso que los usuarios de buena fe, pueden obtener información detallada en tiempo real sobre la vulnerabilidad antes de que la actualización se implemente a una amplia gama de usuarios públicos. Si se explota, este tipo de ataque se denomina explotación de día n.
Es por eso que Google espera que la reducción del tiempo entre las actualizaciones de seguridad ayude a evitar que los usuarios malintencionados obtengan información sobre las vulnerabilidades en el código de Chromium. Por lo general, el intervalo de tiempo entre las actualizaciones de seguridad se utiliza para las pruebas antes del lanzamiento público. Google descubrió por primera vez este problema en 2020, cuando tenía un intervalo de actualización de parches de aproximadamente 35 días. Con el lanzamiento de Chrome 77, el calendario de actualizaciones se cambió a una vez cada dos semanas.
La marca señala que este cronograma más reciente aún no impedirá todos los usos de n días, pero podría reducirlos aún más. De hecho, las actualizaciones de seguridad más frecuentes brindan a los malos actores menos tiempo para explotar una falla que requiere una ruta detallada y más tiempo de desarrollo. Con el tiempo, es probable que los malos actores encuentren formas de explotar las vulnerabilidades más rápidamente.
Otra posibilidad es que la frecuencia de las actualizaciones de seguridad eventualmente podría ser mucho más corta, desplegándose tan pronto como los parches estén disponibles.
Google dice que ahora maneja "todos los errores críticos y de alta gravedad como si fueran explotados".
Aun así, la marca ha comenzado a ver las vulnerabilidades de n-day como tan peligrosas como las vulnerabilidades de día cero, que anteriormente eran desconocidas y, por lo tanto, no podían resolverse con parches o actualizaciones.
Google también anunció recientemente que planea ofrecer soporte separado para el navegador Chrome para ChromeOS cuando se lance ChromeOS 116. Esta actualización beneficiará especialmente a los Chromebooks, extendiendo la vida útil de los netbooks mucho más allá de su vida útil típica de software. El lanzamiento de ChromeOS 116 está programado para el 22 de agosto.
Add comment
Comments