Google, tehdit aktörlerine yayınlanan n-day ve zero-day kusurlarından yararlanmaları için fazladan zaman tanıyan büyüyen yama açığı sorununu çözmek için Google Chrome güvenlik güncellemeleri programını iki haftada bir haftalık olarak değiştirdi.
Bu yeni program, bugün piyasaya sürülmesi planlanan Google Chrome 116 ile başlayacak.
Google, Chromium’un açık kaynaklı bir proje olduğunu ve herkesin kaynak kodunu görüntülemesine ve geliştirici tartışmalarını, taahhütlerini ve katkıda bulunanlar tarafından yapılan düzeltmeleri gerçek zamanlı olarak incelemesine izin verdiğini açıklıyor.
Bu değişiklikler, düzeltmeler ve güvenlik güncellemeleri daha sonra Chrome’un geliştirme sürümlerine (Beta/Canary) eklenir ve kararlı Chrome sürümüne aktarılmadan önce kararlılık, performans veya uyumluluk sorunları açısından test edilirler.
Bununla birlikte, bu şeffaflığın bir maliyeti vardır, çünkü gelişmiş tehdit aktörlerinin, düzeltmeler kararlı Chrome sürümlerinden oluşan devasa bir kullanıcı tabanına ulaşmadan önce kusurları belirlemesine ve bunları vahşi doğada kullanmasına olanak tanır.
Google’ın duyurusunda, “Kötü aktörler muhtemelen bu düzeltmelerin görünürlüğünden yararlanabilir ve henüz düzeltmeyi almamış tarayıcı kullanıcılarına karşı açıklardan yararlanma yöntemleri geliştirebilir.”
“Bilinen ve yama uygulanmış bir güvenlik sorununun bu şekilde kullanılması, n günlük kullanım olarak adlandırılır.”
Yama boşluğu, bir güvenlik düzeltmesinin test edilmek üzere yayınlanması ve sonunda yazılımın halka açık sürümlerinde ana popülasyona gönderilmesi için geçen süredir.
Google, sorunu yıllar önce yama aralığı ortalama 35 gün olduğunda ve 2020’de tespit etti. Chrome 77’nin piyasaya sürülmesiyle birlikte bu sayıyı azaltmaya çalışmak için iki haftada bir yapılan güncellemelere geçiş yaptı.
Haftalık kararlı güncellemelere geçişle Google, yama boşluğunu daha da en aza indirir ve n günlük kullanım fırsatı penceresini tek bir haftaya indirir.
Bu kesinlikle doğru yönde atılmış bir adım olsa ve Chrome güvenliğini olumlu yönde etkileyecek olsa da, tüm n günlük istismarı durdurmaması açısından ideal olmadığının altını çizmek önemlidir.
Güncellemeler arasındaki aralığı azaltmak, daha karmaşık istismar yolları gerektiren kusurların istismarını durduracak ve bu da geliştirilmesi için daha fazla zaman gerektirecektir.
Ancak, kötü niyetli aktörlerin bilinen teknikleri kullanarak etkili bir açıktan yararlanma oluşturabilecekleri bazı güvenlik açıkları vardır ve bu durumlar bir sorun olmaya devam edecektir.
Ancak bu durumlarda bile, kullanıcıların güvenlik güncellemelerini kullanıma sunulur sunulmaz uygulamaları koşuluyla, aktif kullanım en kötü senaryoda maksimum yedi güne düşürülecektir.
“Güvenlik hata düzeltmelerinin tümü n günlük istismar için kullanılmaz. Ancak pratikte hangi hataların kullanıldığını ve hangilerinin kullanılmadığını bilmiyoruz, bu nedenle tüm kritik ve yüksek önem dereceli hatalara, istismar edileceklermiş gibi davranıyoruz.” Chrome Güvenlik Ekibi üyesi Amy Ressler açıklıyor.
“Bu hataların mümkün olan en kısa sürede önceliklendirilmesini ve düzeltilmesini sağlamak için çok çalışma gerekiyor.”
“Düzeltmelerin oturmakta ve bir sonraki iki haftalık güncellemeye eklenmesini beklemek yerine, haftalık güncellemeler önemli güvenlik hata düzeltmelerini size daha erken ulaştırmamızı ve sizi ve en hassas verilerinizi daha iyi korumamızı sağlayacaktır.”
Sonuç olarak, yeni güncelleme sıklığı planlanmamış güncellemelere olan ihtiyacı azaltacak ve kullanıcıların ve sistem yöneticilerinin daha tutarlı bir güvenlik bakım planına bağlı kalmalarını sağlayacaktır.
Güvenlik açığı yama açığı, Google’ın son zamanlarda n günlük kusurların sıfır gün kadar tehlikeli hale geldiği konusunda uyarıda bulunmasıyla Android için büyük bir sorun haline geldi.
Ne yazık ki, Android ekosistemi Google’ın kontrol etmesini çok daha zorlaştırıyor, çünkü çoğu durumda bir yama yayınlanacak ve üreticilerin bunu telefonlarının işletim sistemlerine dahil etmesi aylar alacak.