O Google alterou o cronograma de atualizações de segurança do Google Chrome de quinzenal para semanal para resolver o crescente problema do intervalo de patches que permite aos atores de ameaças tempo extra para explorar falhas no n-day e zero-day publicadas.
Este novo cronograma começará com o Google Chrome 116, programado para ser lançado hoje.
O Google explica que o Chromium é um projeto de código aberto, permitindo que qualquer pessoa visualize seu código-fonte e analise as discussões dos desenvolvedores, commits e correções feitas por colaboradores em tempo real.
Essas mudanças, correções e atualizações de segurança são então adicionadas às releases de desenvolvimento do Chrome (Beta/Canary), onde são testadas para problemas de estabilidade, performance ou compatibilidade antes de poderem ser levados à release estável do Chrome.
No entanto, essa transparência tem um custo, pois também permite que atores de ameaças avançadas identifiquem falhas antes que as correções cheguem a uma base massiva de usuários das releases estáveis do Chrome e as explorem.
"Atores mal-intencionados poderiam possivelmente tirar proveito da visibilidade dessas correções e desenvolver exploits para aplicar contra usuários de navegadores que ainda não receberam a correção", lê-se no anúncio do Google.
"Esta exploração de um problema de segurança conhecido e corrigido é referida como exploração no n-day."
O gap de patches é o tempo que leva para uma correção de segurança ser lançada para teste e finalmente ser lançada para a população principal nas versões públicas dos softwares.
O Google identificou o problema anos atrás quando o intervalo de patches tinha uma média de 35 dias e, em 2020, com o lançamento do Chrome 77, passou para atualizações quinzenais para tentar reduzir este número.
Com a mudança para atualizações estáveis semanais, o Google minimiza ainda mais o intervalo de patches e reduz a janela de oportunidade de exploração para uma única semana.
Embora isso seja definitivamente um passo na direção certa e afetará positivamente a segurança do Chrome, é fundamental ressaltar que não é ideal no sentido de que não impedirá todas as explorações no n-day.
A redução do intervalo entre as atualizações impedirá a exploração de falhas que exigem caminhos de exploração mais complexos, os quais, por sua vez, exigem mais tempo para serem desenvolvidos.
No entanto, existem algumas vulnerabilidades para as quais os atores maliciosos podem construir um exploit eficaz usando técnicas conhecidas, e esses casos continuarão sendo um problema.
Mesmo nesses casos, porém, a exploração ativa ainda será reduzida para um máximo de sete dias no pior dos casos, desde que os usuários apliquem as atualizações de segurança assim que estiverem disponíveis.
"Nem todas as correções de bugs de segurança são usadas para exploração no n-day.
Mas nós não sabemos quais bugs são explorados na prática e quais não são, então tratamos todos os bugs críticos e de alta gravidade como se fossem explorados", explica a membro da Chrome Security Team, Amy Ressler.
"Muito trabalho é feito para garantir que esses bugs sejam triados e corrigidos o mais rápido possível."
"Em vez de ter correções sentadas e esperando para serem incluídas na próxima atualização quinzenal, as atualizações semanais nos permitirão levar correções importantes de bugs de segurança para você mais cedo, e melhor proteger você e seus dados mais sensíveis."
Finalmente, a nova frequência de atualização diminuirá a necessidade de atualizações não planejadas, permitindo que os usuários e administradores de sistemas adiram a um cronograma de manutenção de segurança mais consistente.
O gap de patches de vulnerabilidade também se tornou um problema enorme para o Android, com o Google recentemente alertando que as falhas no n-day se tornaram tão perigosas quanto as zero-days.
Infelizmente, o ecossistema Android torna muito mais difícil para o Google controlar, pois em muitos casos, um patch será lançado e levará meses para os fabricantes o introduzirem nos sistemas operacionais de seus telefones.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...