谷歌宣布,从Chrome浏览器116版本开始,其安全更新频率将从过去的每两周一次压缩为每周一次,以解决攻击者通过补丁更新的时间间隔,利用N Day和0 Day漏洞进行攻击活动。
谷歌表示,Chromium 是一个开源项目,任何人都可以查看其源代码并提交漏洞修复,这些更改、修复和安全更新将添加到 Chrome 的开发版本(Beta/Canary)中,并在将其推送到正式稳定版 Chrome 之前对其进行稳定性、性能或兼容性问题测试。
这一机制虽然有良好的透明度,但也让攻击者有可乘之机,即在这些修复正式推送到稳定版 Chrome的庞大用户群之前在野外利用这些漏洞。
谷歌早在几年前就发现了这个问题,当时补丁间隔平均为 35 天,而在 2020 年,随着 Chrome 77 的发布,谷歌将间隔缩短为每两周更新一次,
通过压缩到每周的更新,Google 进一步缩短了补丁间隔,并将N Day漏洞的利用窗口机会减少到一周,从而可以有效阻止需要更复杂利用路径的漏洞利用。这无疑会对 Chrome 的安全性产生积极影响,但仍不能避免攻击者使用已知技术对某些漏洞进行有效利用。
需要注意的是,Android的生态系统让谷歌难以控制,很多情况下,谷歌发布的补丁需要几个月的时间才能将其引入第三方厂家生产的设备中。