È in arrivo un importante cambiamento relativo agli aggiornamenti di sicurezza di Chrome, in modo che gli utenti possano avere la versione patchata il più rapidamente possibile, riducendo al minimo il possibile danno di dover aspettare un periodo di tempo più lungo, in cui gli aggressori potrebbero approfittare di vulnerabilità localizzate già risolte, in assenza di distribuzione, per portare a termine i loro attacchi.
Come ha dichiarato l’azienda in un comunicato, a partire da Chrome 116, il browser dell’azienda avrà un aggiornamento di sicurezza settimanale, senza alcun danno per il modo in cui gli utenti utilizzano o aggiornano il browser.
Le versioni principali continueranno a essere mantenute su base quadrisettimanale.
Tuttavia, Google continuerà a mantenere le major release con cadenza quadrisettimanale, ma invece di limitarsi a inviare un aggiornamento di sicurezza tra una milestone e l’altra, cioè ogni 15 giorni circa, gli aggiornamenti arriveranno ora ogni settimana, riducendo le possibilità di attacco.
Spiegano che Chrome, essendo basato sul progetto open source Chromium, come altri browser, consente agli utenti e alle organizzazioni di esaminarlo e di segnalare eventuali vulnerabilità; una volta risolte, gli utenti dei canali Canary (e Beta) potrebbero esaminare le possibili instabilità per correggerle prima di raggiungere il grande pubblico.
Lo svantaggio di avere il codice sorgente accessibile
Ma ci sono anche malintenzionati che approfittano dell’accesso al codice sorgente per esaminare le vulnerabilità esistenti, anche quelle che sono già state risolte, per sviluppare exploit e indirizzarli agli utenti che hanno ancora versioni vulnerabili.
Secondo Google:
Questo sfruttamento di un problema di sicurezza noto e risolto è noto come “n-day exploit”.
Per questo motivo, Google è consapevole di dover distribuire le correzioni di sicurezza il prima possibile per ridurre al minimo il cosiddetto “patch gap”, definito come il “tempo che intercorre tra il rilascio della patch e l’invio di un aggiornamento del canale stabile”.
Riflettendo, Google afferma che:
Anche se non possiamo eliminare completamente il potenziale di sfruttamento n-day, la cadenza settimanale degli aggiornamenti di sicurezza di Chrome ci consente di inviare le correzioni di sicurezza in media 3,5 giorni prima, riducendo notevolmente la già piccola finestra per gli attaccanti n-day per sviluppare e utilizzare una vulnerabilità. contro le potenziali vittime e rendendo loro la vita molto più difficile.
E aggiungono che trattano tutti i bug critici e ad alta gravità come se venissero sfruttati, anche se non sanno quali bug critici verranno effettivamente sfruttati e quali no, cercando la migliore protezione per gli utenti e i loro dati più sensibili.
