Google, Chrome web tarayıcısının temelini oluşturan Chromium açık kaynak kodu için güvenlik güncellemelerini ve yamaları gönderme sıklığını hızlandırmak amacıyla harekete geçti ve tehdit aktörlerinin bir günlük güvenlik açıklarından yararlanmaları ve son kullanıcıları daha iyi korumaları için gereken süreyi en aza indirme niyetiyle harekete geçti.
Chrome’un yüklü web tarayıcı tabanının %63’ünden biraz daha azını oluşturduğu tahmin ediliyor ve bu da onu Firefox, Microsoft Edge ve Safari gibilerini geride bırakarak dünya çapında web’e erişmenin en popüler yolu haline getiriyor.
Şu anda, Chrome Güvenlik ekibinden Amy Ressler, Chrome için yeni bir kilometre taşı sürümünün dört haftada bir gönderildiğini açıkladı; bu sürümler arasında, güvenlik ve “diğer yüksek etkili” hataları gidermek için güncellemeler gönderiliyor. Bunlar şu anda her dönüm noktası sürümü arasında bir güncelleme oranında planlanıyor, ancak bazı Android kullanıcıları için 9 Ağustos’ta çıkan Chrome 116’dan itibaren bu program haftada bir güncelleme hızına çıkacak.
Ressler, bunun kullanıcıların pratikte Chrome’u kullanma veya güncelleme şeklini değiştirmemesi gerektiğini, ancak güvenlik güncellemelerinin savunmasız cihazlara daha hızlı ulaşacağı anlamına geldiğini söyledi.
Bir n günlük güvenlik açığı, en iyi şekilde, bir düzeltme eki olmadan açıklanan bir güvenlik açığı olan sıfırıncı günün aksine, bir düzeltme ekinin mevcut olduğu açıklanan bir güvenlik açığı olarak tanımlanır. Diğer açık kaynak projeleri gibi, Chrome da kodu açık ve şeffaf olduğu için n günlük açıklardan yararlanmalara karşı savunmasızdır; bu nedenle tehdit aktörleri, yeni güvenlik açıkları bulunup yamalandıkça bu açıklıktan kolayca yararlanarak yeni güvenlik açıkları için açıklardan yararlanabilir ve bunlardan faydalanabilir. bunlar, kullanıcılar yetişemeden önce.
Ressler, “İşte bu nedenle, bu ‘yama boşluğunu’ en aza indirmek için güvenlik düzeltmelerini mümkün olan en kısa sürede göndermenin gerçekten önemli olduğuna inanıyoruz” dedi.
Güncellemelerin ritmine yapılan önceki güncellemeler, bu sözde yama boşluğunu azaltmaya yardımcı oldu. Chrome 77’den önce, Google iki haftada bir önceki istikrarlı kanal güncelleme politikasını uyguladığında, bu süre ortalama 35 gündü. Şu anda 15 günlük durumda.
“Bir günlük kötüye kullanım olasılığını tamamen ortadan kaldıramasak da, haftalık bir Chrome güvenlik güncellemesi, güvenlik düzeltmelerinin ortalama 3,5 gün daha erken gönderilmesine olanak tanıyarak, n günlük saldırganların bir Ressler, potansiyel kurbanlara karşı istismar ve hayatlarını çok daha zorlaştırıyor” dedi.
Ressler, tüm güvenlik açıklarından n gün olarak faydalanılmasa da, Google’ın hangilerinin olacağını ve hangilerinin olmayacağını söyleyemediğini, bu nedenle artık tüm kritik ve yüksek önem dereceli hataları, potansiyelleri varmış gibi ele aldığını ekledi. sömürülebilir ve bunları öncelik sırasına koymak ve yamalamak için işini ikiye katlar.
Bu şekilde, dedi Ressler, Google, düzeltmelerin bir tür yama öncesi bekleme odasında asılı kalmasındansa, bunun önemli yamaların daha sonra değil, daha erken yayınlanmasına yardımcı olacağını ve kullanıcıların da planlanmamış hata sıklığında bir azalma fark edeceğini umuyor. ve son derece kritik bir hata bulunması durumunda planlanmamış güncellemeler.
Chrome kullanıcıları, cihazlarındaki güncelleme bildirimlerini takip ederek ve güncellemeleri mümkün olan en kısa sürede dağıtarak yardımcı olabilir; Chrome’u güncellerken, Gizli modu kullanmadığınız sürece tarayıcının açık sekmeleri ve pencereleri kaydettiğini unutmayın. İşi kesintiye uğratma konusunda endişelenmenize gerek yok.
Ayrıca, politika değişikliğinin yalnızca Chrome için geçerli olduğunu (Chromium tabanlı diğer tarayıcılar Microsoft Edge ve Opera’yı içerir) ve bunların güncellenme sıklığının Google’daki bir politika değişikliğinden etkilenemeyeceğini unutmamak önemlidir.