Google сократила вдвое пробел между выходом патчей и их реализацией в Chrome

[душман]

Инженеры компании Google сообщили о сокращении вдвое «окна» между выходом патчей и их реализацией в соответствующем ПО. Дело в том, что до недавнего времени между исправлением уязвимостей в библиотеке с открытым исходным кодом и доставкой исправленной библиотеки в Google Chrome проходило 33 дня. Теперь, по словам инженеров Google, с выходом Chrome 78 промежуток сократился до 15 дней.

В настоящее время компоненты с открытым исходным кодом используются во многих приложениях, и подобные «окна» представляют собой серьезную угрозу безопасности. Когда уязвимость исправлена в открытой библиотеке, о ней становится известно широкой общественности.

Используя подробности об уязвимости, злоумышленники могут создать для нее эксплоит и атаковать ПО с уязвимым компонентом до выхода исправленной версии. Если новые версии ПО выходят по графику, а обновления безопасности – раз в несколько недель или даже месяцев, появляется «окно», которое весьма на руку злоумышленникам.

Google Chrome является как раз одним из таких проектов, полагающихся на компоненты с открытым исходным кодом и страдающих от «окна» между выходом и реализацией исправлений. К примеру, в браузере используются такие компоненты, как библиотека для просмотра PDF-документов PDFium, движок V8 JavaScript и пр.

В 2019 году специалисты компании Exodus Intelligence указали как минимум на два случая, когда атакующие могли воспользоваться слишком большим пробелом между выходом исправлений и их реализацией в браузере.