吳明宜為了不讓駭客有機可趁,Google 本周宣佈,自 Chrome 116 版起,將採行每周發佈一個版本的更新頻率。
Google Chrome 是最多人用的瀏覽器,也讓 Chrome 成為駭客攻擊的顯著目標。 Google 說,由於它是開放原碼 Chromium 專案的維護單位(Chrome 是以 Chromium 為核心),因此肩負維護數十億網路用戶安全的責任。為此,它計畫行動版和 PC 版 Chrome 都將開始採行更頻繁的穩定版頻道 (Stable Channel) 更新,使駭客攻擊漏洞的空窗期更短。
Google 解釋,由於 Chromium 為開原碼專案,所有人都可以讀取程式碼、上傳變更或看到其他人的程式碼變更,包括修補程式。好處是所有人都能檢視程式碼和發現漏洞,但缺點是歹徒也能看到漏洞,開發攻擊程式,攻擊還未上修補程式的用戶。這種攻擊已知漏洞的行為稱為 n-day 攻擊。
當有人上傳 n-day 漏洞修補程式碼,並在 Chromium 專案公開後,Google Chrome 團隊會開始測試、驗證。經過驗證的修補程式,會在 Stable Channel 發佈 Stable Refresh 版 Chrome 給用戶端。
Chrome 每 4 周會有一個里程碑 (milestone) 更新,像是 100 到 101 版。解決安全漏洞的 Sable Refresh 更新版,發佈間隔是 15 天。以前間隔長達 35 天,2020 年縮短為現行頻率。
從 Chrome 116 桌機及手機版開始,Stable Refresh 會改成每周一次。 Google 認為,更密集的 Stable Refresh 版,可使用戶端安全修補時程平均縮短為 3.5 天,可大幅壓縮 n-day 漏洞攻擊程式的撰寫期間,進一步提升用戶的保護。
另一個好處是,由於定期更新更頻繁,因零時差漏洞引起的未預期性更新也會減少,減少使用者和管理員的困擾。
同時間,Google 說他們正在測試鼓勵用戶更新的新方法,並呼籲用戶每當有更新釋出,請一定要立即安裝。
來源:9to5Google