Google, tehdit aktörlerine yayınlanan n-gün ve sıfır gün kusurlarından yararlanmak için ekstra zaman sağlayan büyüyen yama boşluğu sorununu ele almak için Google Chrome Güvenlik Güncellemeleri programını iki haftada bir haftalık olarak değiştirdi.
Bu yeni program, bugün yayınlanması planlanan Google Chrome 116 ile başlayacak.
Google, Chromium'un açık kaynaklı bir proje olduğunu açıklar ve herkesin kaynak kodunu görüntülemesine ve geliştirici tartışmalarını, taahhütlerini ve katkıda bulunanlar tarafından yapılan düzeltmeleri gerçek zamanlı olarak incelemesine izin verir.
Bu değişiklikler, düzeltmeler ve güvenlik güncellemeleri daha sonra Chrome'un geliştirme sürümlerine (Beta/Canary) eklenir; burada kararlılık, performans veya uyumluluk sorunları için kararlı krom salımına itilmeden önce test edilirler.
Bununla birlikte, bu şeffaflık bir maliyetle birlikte gelir, çünkü gelişmiş tehdit aktörlerinin düzeltmeler kararlı krom salınımlarının büyük bir kullanıcı tabanına ulaşmadan ve vahşi doğada sömürülmeden önce kusurları tanımlamasına izin verir.
Google'ın duyurusu, "Kötü aktörler muhtemelen bu düzeltmelerdeki görünürlükten yararlanabilir ve henüz düzeltmeyi almamış olan tarayıcı kullanıcılarına karşı başvurmak için istismarlar geliştirebilir."
Diyerek şöyle devam etti: "Bilinen ve yamalı bir güvenlik sorununun bu sömürüsüne N-Day Sömürü denir."
Yama boşluğu, test için yayınlanacak bir güvenlik düzeltmesi ve nihayet yazılımın kamuya açıklanmalarında ana nüfusa itilmesi için bir güvenlik düzeltmesi gerektirir.
Google, yama boşluğunun ortalama 35 gün ve 2020'de sorunu yıllar önce belirledi. Chrome 77'nin piyasaya sürülmesiyle, bu sayıyı azaltmaya çalışmak için iki haftada bir güncellemelere geçti.
Haftalık istikrarlı güncellemelere geçiş ile Google, yama boşluğunu daha da en aza indirir ve N-Day sömürü fırsatı penceresini tek bir haftaya indirir.
Bu kesinlikle doğru yönde bir adım olsa da ve krom güvenliğini olumlu bir şekilde etkileyecek olsa da, tüm N-Day sömürüsünü durdurmayacağı anlamında ideal olmadığının altını çizmek önemlidir.
Güncellemeler arasındaki aralığı azaltmak, daha karmaşık sömürü yolları gerektiren kusurların sömürülmesini durduracak ve bu da gelişmesi için daha fazla zaman gerektirecektir.
Bununla birlikte, kötü niyetli aktörlerin bilinen teknikleri kullanarak etkili bir istismar oluşturabileceği bazı güvenlik açıkları vardır ve bu vakalar bir sorun olmaya devam edecektir.
Bununla birlikte, bu durumlarda bile, kullanıcıların kullanıma sunuldukları anda güvenlik güncellemelerini uyguladıkları göz önüne alındığında, en kötü senaryoda aktif sömürü yine de en fazla yedi güne indirilecektir.
"Tüm güvenlik hatası düzeltmeleri N-Day Sömürü için kullanılmıyor. Ancak hangi hataların pratikte kullanıldığını bilmiyoruz ve hangilerinin değil, tüm kritik ve yüksek şiddet hatalarına sömürülecek gibi davranıyoruz," Chrome güvenlik ekibi üyesi Amy Ressler açıklıyor.
"Bu böceklerin mümkün olan en kısa sürede tetiklenmesini ve düzeltilmesini sağlamak için çok fazla çalışma gidiyor."
Diyerek şöyle devam etti: "Haftalık güncellemeler, bir sonraki iki haftalık güncellemeye dahil edilmeyi ve oturma işlemlerini yapmak yerine, size daha erken önemli güvenlik hatası düzeltmeleri almamıza ve sizi ve en hassas verilerinizi daha iyi korumamıza izin verecektir."
Nihayetinde, yeni güncelleme sıklığı, kullanıcıların ve sistem yöneticilerinin daha tutarlı bir güvenlik bakım programına uymasını sağlayarak planlanmamış güncellemeler ihtiyacını azaltacaktır.
Güvenlik açığı yama boşluğu da Android için büyük bir sorun haline geldi, Google son zamanlarda N-Day kusurlarının sıfır günler kadar tehlikeli hale geldiğini söyledi.
Ne yazık ki, Android ekosistemi Google'ın kontrol etmesini çok daha zorlaştırıyor, çünkü birçok durumda bir yama yayınlanacak ve üreticilerin telefonlarının işletim sistemlerine tanıtılması aylar alacak.
Tarayıcı geliştiricileri Google'ın “Web DRM” WEI API'sine geri dönüyor
Google Chrome, bağlantıların üzerine geldiğinde 'bağlantı önizlemeleri' sunacak
Google Gmail Geliştirilmiş Güvenli Görünme etkinleştirilmesi için sürekli nagging
Chrome kötü amaçlı yazılım Rilide, PowerPoint kılavuzları aracılığıyla kurumsal kullanıcıları hedefler
Google: Android Patch Gap, N-Days'i sıfır günler kadar tehlikeli hale getiriyor
Kaynak: Bleeping Computer