Корпорация Google вдвое сократила срок внедрения обновлений безопасности в Chrome

Разработчики Google сообщили о том, что смогли значительно сократить срок между выпуском обновлений безопасности в библиотеках с открытым исходным кодом и внедрением этих обновлений в программном обеспечении браузера Chrome, использующем соответствующие библиотеки. Этот срок обозначается термином patch gap и его продолжительность чрезвычайно важна для обеспечения безопасности. Дело в том, что компоненты с открытым исходным кодом используются сегодня повсеместно. И уязвимости в них обнаруживаются так же часто, как и в любом другом ПО. Но если сам факт обнаружения может быть сохранен в тайне, то выпуск исправлений неизбежно становится достоянием широкой публики.

Дальше же начинается соревнование в скорости. И хакеры нередко создают эксплойты для выявленных уязвимостей раньше, чем обновления безопасности оказываются внедрены во все приложения, использующие уязвимый компонент с открытым исходным кодом. Эта проблема стоит особенно остро для ПО с фиксированными сроками обновления: например, раз в месяц. В подобной ситуации у киберпреступников в распоряжении могут оказаться 3-4 недели: этого более чем достаточно для разработки эксплойта и осуществления атак.

В прошлом году компания Exodus дважды обращала внимание Google на серьезность этой проблемы. В апреле и сентябре специалисты Exodus создавали инструменты для эксплуатации выявленных и исправленных уязвимостей в движке V8 JavaScript, который используется в браузере Chrome, задолго до того, как разработчики Google успевали внедрить необходимые обновления безопасности. К счастью, в Google сделали необходимые выводы. И если в версии Chrome 76 продолжительность patch gap составляла 33 дня, то в версии Chrome 78 она сократилась более чем вдвое – до 15 дней. Более того, корпорация намерена и далее работать над сокращением этого срока. Вероятнее всего, это означает, что Google стремится к еженедельному выпуску обновлений для Chrome.

Источник: ZDNet