您的位置:首頁 > 更多 > 焦點 >內(nèi)容

科技資訊:谷歌將Chrome的補丁差距縮短了一半

來源:教育資源網(wǎng) ? 發(fā)布時間:2021-06-03 16:11:27 ? 點擊:568

備忘單:TensorFlow,一個用于機器學(xué)習(xí)的開源軟件庫

閱讀更多

谷歌安全工程師上周表示,他們已經(jīng)成功地將谷歌Chrome的“補丁漏洞”從33天縮短到了15天。

術(shù)語“補丁缺口”指的是當(dāng)一個安全缺陷在一個開放源碼庫中被修復(fù)時到同樣的修復(fù)在使用該特定庫的軟件中出現(xiàn)時所花費的時間。

在**的軟件環(huán)境中,許多應(yīng)用程序都依賴于開源組件,“補丁漏洞”被認為是一個主要的安全風(fēng)險。

原因是,當(dāng)一個安全缺陷在一個開源庫中被修復(fù)時,有關(guān)該缺陷的細節(jié)就會公開,這主要是由于大多數(shù)開源項目的公共性質(zhì)和開放性。

然后,在軟件制造商有機會發(fā)布補丁之前,**就可以利用這些安全缺陷的細節(jié),精心設(shè)計漏洞,并對依賴于易受攻擊組件的軟件發(fā)起攻擊。

如果軟件制造商的發(fā)布時間是固定的,每隔幾周或幾個月就會發(fā)布更新,那么補丁漏洞就會為**提供一個大多數(shù)軟件項目無法應(yīng)對的攻擊窗口。

Chrome web瀏覽器是受補丁漏洞影響的項目之一,因為它使用了大量的開源組件——從PDFium pdf查看庫到V8 JavaScript引擎等等。

2019年,Exodus Intelligence的安全研究人員強調(diào)了兩個問題:Chrome的巨大補丁漏洞可能被攻擊者利用。

今年4月和9月,Exodus的研究人員針對V8 JavaScript引擎中修復(fù)的安全漏洞開發(fā)了概念驗證漏洞代碼,這些漏洞還沒有進入Chrome的代碼庫。

對Chrome用戶來說,好消息是Exodus團隊對這個話題的研究和隨后的警告并不是沒有被Chrome安全團隊聽到。

在Chrome最近發(fā)布的2019年第四季季度安全總結(jié)中,谷歌的工程師們表示,他們已經(jīng)在努力縮小Chrome的補丁差距。

Chrome安全團隊成員安德魯·r·沃利(Andrew R. Whalley)說Chrome,“我們現(xiàn)在每兩周發(fā)布一次常規(guī)更新,包含最新的嚴重安全補丁?!?/p>

他補充道:“這使得Chrome 76的補丁平均時間從33天縮短到了15天,我們會繼續(xù)改進?!?/p>

正如Whalley所解釋的那樣,谷歌解決Chrome漏洞的方法是更頻繁地發(fā)布安全補丁。隨著谷歌計劃進一步縮小補丁的差距,這很可能意味著我們將很快看到Chrome安全補丁每周發(fā)布一次,因為谷歌的工程師們將關(guān)鍵的安全補丁從開源庫推送到用戶的Chrome瀏覽器上。

由于Chrome具有默認為所有用戶開啟的靜默更新機制,在大多數(shù)情況下,Chrome終端用戶無需采取任何行動就能收到修復(fù)程序。

類似的“補丁漏洞”問題也影響了谷歌的第二個主要軟件項目,Android操作系統(tǒng),它也依賴于大量的開源組件。然而,為Android提供安全更新是……一塌糊涂,一塌糊涂。

相關(guān)推薦