andranik123 – stock.adobe.com
من المفترض أن تساعد التغييرات التي تطرأ على سياسة تحديث الأمان في Google على سد الفجوة التي يمكن لمجرمي الإنترنت فيها استغلال الثغرات الأمنية في اليوم التالي
تحركت Google لتسريع التردد الذي تطرح فيه تحديثات وتصحيحات الأمان لكود Chromium مفتوح المصدر الذي يقوم عليه متصفح الويب Chrome، بقصد تقليل الوقت الذي يجب على الفاعلين استغلاله نقاط الضعف في اليوم وحماية المستخدمين النهائيين بشكل أفضل.
يُقدر أن Chrome يمثل ما يقل قليلاً عن 63٪ من قاعدة متصفحات الويب المثبتة ، مما يجعله الوسيلة الأكثر شيوعًا للوصول إلى الويب حول العالم ، متفوقًا على أمثال Firefox و Microsoft Edge و Safari.
حالياً، أوضح إيمي ريسلر من فريق Chrome Security، إصدار مهم جديد من Chrome يتم شحنه كل أربعة أسابيع – يتم فيما بينها شحن التحديثات لمعالجة الأخطاء المتعلقة بالأمان و “الأخطاء الأخرى عالية التأثير”. تتم جدولة هذه حاليًا بمعدل تحديث واحد بين كل إصدار هام ، ولكن بدءًا من كروم 116 – الذي صدر في 9 أغسطس لبعض مستخدمي Android – سيرتفع هذا الجدول الزمني بمعدل تحديث واحد في الأسبوع.
قال ريسلر إن هذا لا ينبغي أن يغير كيفية استخدام المستخدمين لمتصفح Chrome أو تحديثه في الممارسة العملية ، ولكنه يعني أن التحديثات الأمنية ستصل إلى الأجهزة المعرضة للخطر بشكل أسرع.
أفضل تعريف للثغرة الأمنية في اليوم هو الثغرة الأمنية التي تم الكشف عنها والتي يتوفر لها تصحيح ، بدلاً من صفر يوم، وهي ثغرة أمنية تم الكشف عنها بدون تصحيح. مثل غيره من المشاريع مفتوحة المصدر ، يعد Chrome عرضة لعمليات الاستغلال في اليوم التالي لأن شفرته متاحة بشكل مفتوح وشفاف ، لذلك يمكن للجهات الفاعلة في التهديد بسهولة الاستفادة من هذا الانفتاح لتطوير ثغرات ثغرات جديدة عند اكتشافها وتصحيحها ، والاستفادة من قبل أن يتمكن المستخدمون من اللحاق بالركب.
قال ريسلر: “لهذا السبب نعتقد أنه من المهم حقًا شحن الإصلاحات الأمنية في أسرع وقت ممكن ، لتقليل” فجوة التصحيح “هذه.
ساعدت التحديثات السابقة لإيقاع التحديثات بالفعل في تقليل ما يسمى بفجوة التصحيح. قبل Chrome 77 ، عندما نفذت Google سياسة التحديث السابقة للقناة الثابتة كل أسبوعين ، كانت 35 يومًا في المتوسط. انها تقف حاليا في 15 يوما.
“على الرغم من أننا لا نستطيع إزالة احتمالية الاستغلال في اليوم التالي تمامًا ، فإن إيقاع التحديث الأمني الأسبوعي لـ Chrome يسمح بشحن الإصلاحات الأمنية قبل 3.5 أيام في المتوسط ، مما يقلل بشكل كبير من الفترة الصغيرة بالفعل للمهاجمين في اليوم n لتطوير واستخدام قال ريسلر: “يستغلون ضد الضحايا المحتملين ويجعلون حياتهم أكثر صعوبة”.
على الرغم من أنه لم يتم استغلال جميع الثغرات الأمنية في أيام n ، إلا أن Ressler أضاف أن Google لا يمكنها معرفة أي منها سيكون وأيها لن يكون كذلك ، لذلك فهي تتعامل الآن مع جميع الأخطاء الحرجة وعالية الخطورة كما لو كانت لديها القدرة على يتم استغلالها ومضاعفة عملها لفرزها وتصحيحها.
وبهذه الطريقة ، قال ريسلر ، تأمل Google أنه بدلاً من وجود إصلاحات في غرفة انتظار ما قبل التصحيح ، سيساعد ذلك في الحصول على التصحيحات المهمة عاجلاً وليس آجلاً ، بينما سيلاحظ المستخدمون أيضًا انخفاضًا في معدل تكرار الزيارات غير المخطط لها والتحديثات غير المجدولة ، في حالة العثور على خطأ فادح للغاية.
يمكن لمستخدمي Chrome المساعدة من خلال إبقاء العين مفتوحة لإشعارات التحديث على أجهزتهم ونشر التحديثات في أقرب وقت عملي – لاحظ أنه عند تحديث Chrome ، يحفظ المتصفح علامات التبويب والنوافذ المفتوحة طالما أنك لا تستخدم وضع التصفح المتخفي ، لذلك هناك لا داعي للقلق بشأن مقاطعة العمل.
من المهم أيضًا ملاحظة أن تغيير السياسة لا ينطبق إلا على Chrome – تتضمن المتصفحات الأخرى القائمة على Chromium Microsoft Edge و Opera – ولا يمكن أن يتأثر معدل تحديث هذه التغييرات بتغيير السياسة في Google.
اقرأ المزيد عن متطلبات أمان التطبيق والترميز
جوجل: بائعو برامج التجسس الذين يستغلون iOS و Android صفر أيام
بواسطة: أرييل والدمان
تقوم Microsoft بإصلاح يوم الصفر لـ EoP في يوم الثلاثاء التصحيح لشهر يناير
بواسطة: أليكس سكروكستون
تجعل نقاط الضعف في Google و MS و Oracle شهر نوفمبر 22 شهرًا كبيرًا للتصحيح
بواسطة: أليكس سكروكستون
شهر آب (أغسطس) 22 كان مليئًا بالثغرات الشديدة التأثير
بواسطة: اليكس سكروكستون