打擊駭客　Google每週發布Chrome安全更新

編譯／Cynthia

近日，Google宣布採取更積極的安全策略，將Chrome的安全更新週期從兩週一次改為每週一次。這項措施主要在應對不斷嚴重的修補程式滯後問題，這問題使得駭客在公開的n日漏洞（n-day Vulnerability，n-day）和零日漏洞（Zero-day Vulnerability，zero-day）中有更多時間來進行攻擊。

根據Google的解釋，Chromium是一個開源專案，允許任何人查看其源代碼，審查開發者討論、提交和修補程式的情況。這些變更、修補程式和安全更新隨後會被整合到Chrome的開發版本中，即Beta／Canary版本，並在推送到穩定版本之前經過穩定性、性能和兼容性測試。

更多新聞：網路數據安全公司：三分之二的Chrome AI擴充程式都很危險

這種透明性也為高階駭客帶來機會，他們有機會在修補程式抵達大量穩定版Chrome使用者之前，發現這些漏洞並利用它們進行攻擊。Google警告說：「駭客可能利用對這些修補程式的可見性，開發出針對尚未收到修補程式的瀏覽器使用者的攻擊手法。」修補程式延遲是指安全修補程式從測試到最終推送到主要用戶的公開版本的時間。Google在多年前就已經識別出這個問題，當時平均修補程式延遲達35天。然而，隨著Chrome 77的推出，Google在2020年轉為每兩週一次的更新頻率，以嘗試減少修補程式延遲時間。

這次的更新意味著Google進一步縮小了修補程式延遲，將n-day利用的機會縮小到僅有一週的時間。雖然這是朝著正確方向邁出的一步，但並不能完全消除所有漏洞利用的風險。儘管如此，縮短更新間隔將阻止那些需要更複雜利用手法的漏洞被利用。然而，還有一些漏洞，駭客可以利用已知的技巧來進行攻擊，這些情況仍然存在問題。即使在這些情況下，積極的攻擊行為也將在最壞的情況下在七天內減少，前提是使用者在安全更新發布後立即應用。

Google的每週更新計畫是對提升Chrome安全性的重要措施。儘管無法完全消除所有漏洞利用的風險，但這個變化將縮小修補程式延遲所帶來的威脅風險，更有效地保護用戶免受攻擊。此舉將不僅有助於減少未計劃的更新，還能使用戶和系統管理員能夠更一致地進行安全維護。這個變化同樣也在Android生態系統中引起了重要關注，Google最近警告稱，n-day漏洞已經變得與zero-day漏洞一樣危險。儘管這可能在Android上難以實現，但Google的改變顯示了對保護用戶的承諾。

資料來源：BleepingComputer

瀏覽 3,687 次