Folge 32:von Amy Ressler aus Mountain View, USA (Februar 2023)
Vorherige Folgen
Sie haben gerade einen Sicherheitsfehler in Chrome behoben. Vielen Dank, dass Sie Chrome für alle Nutzer sicherer machen. Aber warten Sie, Ihre Arbeit ist noch nicht fertig. Nur du kannst dir helfen, die Lücke zu schließen.
Was ist die Patchlücke?
Die Patchlücke ist die kritische Zeit zwischen der Bereitstellung des Sicherheitsupdates und der Bereitstellung eines Updates für die stabile Version von Chrome an die Nutzer.
Wenn du in Chromium eine Fehlerkorrektur landest, ist sie öffentlich verfügbar für alle, die unsere Quellcode-Repositories überwachen. Dazu gehören auch böswillige Akteure und Exploit Broker.
Böswillige Akteure arbeiten schnell, um diese Zeit zwischen der festgelegten Änderungsliste und Nutzern, die in einem stabilen Kanalupdate Zugriff auf diesen Patch haben, zu nutzen und mit Reverse Engineering ein Exploit zu entwickeln, das zur Verwendung gegen potenzielle Opfer verwendet oder verkauft wird. Dies wird als n-tägige Ausnutzung bezeichnet.
Das Potenzial der Ausbeutung innerhalb von n Tagen können wir zwar nicht vollständig beseitigen, aber wenn wir die Zeit bis zur Behebung eines Updates in einem stabilen Chrome-Kanal verkürzen, erschwert dies das Leben dieser böswilligen Akteure und verringert das Risiko einer n-tägigen Ausbeutung erheblich.
Wie können Sie dazu beitragen, n-Tage-Ausbeutung zu verhindern?
Achten Sie auf die Patchlücke und führen Sie die folgenden Schritte aus.
Sicherheitsprobleme schnell auf Status=Behoben aktualisieren
Sobald du die Änderungsliste mit dem Sicherheitsupdate erhalten hast, aktualisiere sie auf Status=Fixed
.
So kann die Sheriffbot-Automatisierung den Fehler mit den entsprechenden Labels für Zusammenführungsanfragen aktualisieren, je nach Schweregrad und Auswirkung der Sicherheit.
Vollständige Angaben zu Stabilitäts- oder Kompatibilitätsproblemen
Geben Sie diese Informationen als Antwort auf den Sheriffbot-Merge-Fragebogen an. Sie sollten eine erneute Zusammenführung nur dann vermeiden, wenn ein Risiko für Chrome besteht.
Ein Sicherheitsfehler, der bereits lange besteht, ist kein guter Grund, eine Rückzusammenführung zu vermeiden. Es ist jetzt billiger und viel einfacher als n-Tag ausgenutzt.
Zusammenführungen von Grundstücken, sobald sie genehmigt wurden
Unsere beste Verteidigung ist, schnell zu liefern.
Versuchen Sie nicht, Code zu verbergen oder zu verschleiern oder Nachrichten per Commit zu übertragen
N-Tage-Angreifer sind schlau und werden dieses Problem umgehen.
Wenden Sie sich an das Sicherheitsteam.
Wenn Sie Fragen oder Bedenken haben, wenden Sie sich bitte an das Sicherheitsteam.
Vielen Dank, dass Sie sich um den Patch kümmern, denn nur Sie können dazu beitragen, eine n-tägige Ausnutzung zu verhindern.