Para combater a crescente ação de hackers e outros agentes de ameaças, o Google Chrome terá atualizações de segurança semanais em breve.
O Google alterou a programação de atualizações de segurança do Google Chrome de quinzenal para semanal para resolver o crescente problema de lacunas de patches que permite aos agentes de ameaças mais tempo para explorar as falhas n-day e zero-day publicadas.
Chrome terá atualizações de segurança semanais
Sim. O Chrome terá atualizações de segurança semanais, e essa nova programação começará com o Google Chrome 116, com lançamento previsto para essa semana.
O Google explica que o Chromium é um projeto de código aberto, permitindo que qualquer pessoa visualize seu código-fonte e examine as discussões do desenvolvedor, confirmações e correções feitas pelos colaboradores em tempo real.
Essas alterações, correções e atualizações de segurança são adicionadas às versões de desenvolvimento do Chrome (Beta/Canary), onde são testadas quanto à estabilidade, desempenho ou problemas de compatibilidade antes de serem enviadas para a versão estável do Chrome.
No entanto, essa transparência tem um custo, pois também permite que agentes avançados de ameaças identifiquem falhas antes que as correções atinjam uma enorme base de usuários de versões estáveis do Chrome e as explorem livremente.
“Atores mal-intencionados podem tirar proveito da visibilidade dessas correções e desenvolver exploits para aplicar contra usuários de navegadores que ainda não receberam a correção”, diz o anúncio do Google.
“Essa exploração de um problema de segurança conhecido e corrigido é chamada de exploração de n dias.”
A lacuna do patch é o tempo que uma correção de segurança leva para ser lançada para teste e para finalmente ser enviada para a população principal em lançamentos públicos de software.
O Google identificou o problema anos atrás, quando a lacuna do patch era em média de 35 dias e em 2020. Com o lançamento do Chrome 77, ele mudou para atualizações quinzenais para tentar reduzir esse número.
Com a mudança para atualizações semanais estáveis, o Google minimiza ainda mais a lacuna do patch e reduz a janela de oportunidade de exploração de n dias para uma única semana.
Embora este seja definitivamente um passo na direção certa e afete positivamente a segurança do Chrome, é essencial enfatizar que não é o ideal no sentido de que não interromperá toda a exploração de n dias.
A redução do intervalo entre as atualizações interromperá a exploração de falhas que exigem caminhos de exploração mais complexos, que por sua vez exigem mais tempo para se desenvolver.
No entanto, existem algumas vulnerabilidades para as quais agentes mal-intencionados podem criar uma exploração eficaz usando técnicas conhecidas, e esses casos continuarão sendo um problema.
Mesmo nesses casos, porém, a exploração ativa ainda será reduzida a um máximo de sete dias no pior cenário, uma vez que os usuários aplicam atualizações de segurança assim que estiverem disponíveis.
“Nem todas as correções de bugs de segurança são usadas para exploração de n dias. Mas não sabemos quais bugs são explorados na prática e quais não são, então tratamos todos os bugs críticos e de alta gravidade como se fossem explorados”, explica Amy Ressler, membro da equipe de segurança do Chrome.
“Muito trabalho é feito para garantir que esses bugs sejam triados e corrigidos o mais rápido possível.”
“Em vez de ter correções paradas e esperando para serem incluídas na próxima atualização quinzenal, as atualizações semanais nos permitirão obter importantes correções de bugs de segurança para você mais cedo e proteger melhor você e seus dados mais confidenciais.”
Por fim, a nova frequência de atualização diminuirá a necessidade de atualizações não planejadas, permitindo que usuários e administradores de sistema sigam um cronograma de manutenção de segurança mais consistente.
A lacuna do patch de vulnerabilidade também se tornou um grande problema para o Android, com o Google alertando recentemente que as falhas de n dias se tornaram tão perigosas quanto as de zero dias.
Infelizmente, o ecossistema Android torna muito mais difícil para o Google controlar, pois em muitos casos, um patch será lançado e os fabricantes levarão meses para introduzi-lo nos sistemas operacionais de seus telefones.