Chromium Chronicle #32: به شکاف وصله توجه کنید

قسمت 32: توسط امی رسلر در Mountain View، ایالات متحده آمریکا (فوریه، 2023)
قسمت های قبلی

بنابراین شما به تازگی یک باگ امنیتی در کروم را برطرف کرده اید! تبریک می‌گوییم و از شما برای ایمن‌تر کردن Chrome برای همه کاربران سپاسگزاریم. اما صبر کنید، کار شما هنوز تمام نشده است. فقط شما می توانید به شکاف پچ کمک کنید.

شکاف پچ چیست؟

فاصله وصله زمانی حیاتی بین زمانی که رفع امنیتی را ارائه می‌کنید و زمانی که رفع مشکل در یک به‌روزرسانی کانال پایدار Chrome برای کاربران ارسال می‌شود، است.

هنگامی که یک اصلاح را در Chromium ارائه می‌کنید، آن اصلاح برای هر کسی که مخازن کد منبع ما را نظارت می‌کند - از جمله بازیگران بد و کارگزاران سوء استفاده‌کننده، به‌طور عمومی در دسترس است.

مراحل بین فرود و ارسال یک تعمیر که به عنوان شکاف پچ توصیف می شود.

بازیگران بد به سرعت کار می کنند تا از زمان بین لیست تغییرات فرود (CL) و کاربرانی که به آن وصله دسترسی دارند در یک به روز رسانی کانال پایدار استفاده کنند، CL را مهندسی معکوس می کنند تا یک اکسپلویت برای اهرم یا فروش برای استفاده علیه قربانیان احتمالی ایجاد کنند. این استثمار روز n نامیده می شود.

در حالی که نمی‌توانیم پتانسیل بهره‌برداری n-day را به طور کامل حذف کنیم، کاهش زمان بین راه‌اندازی اصلاح و ارسال تعمیر در یک به‌روزرسانی کانال پایدار کروم، زندگی آن بازیگران بد را بسیار سخت‌تر می‌کند و پتانسیل n- را تا حد زیادی کاهش می‌دهد. بهره برداری روز

چگونه می توانید به جلوگیری از بهره برداری روز n کمک کنید؟

به شکاف پچ توجه کنید و کارهای زیر را انجام دهید.

اشکالات امنیتی را به وضعیت به روز کنید=به سرعت رفع شد

به محض اینکه CL را با رفع مشکل امنیتی وارد کردید، آن را به Status=Fixed به روز کنید.

این به اتوماسیون Sheriffbot اجازه می‌دهد تا اشکال را با برچسب‌های درخواست ادغام مناسب بر اساس شدت و تأثیر امنیتی به‌روزرسانی کند .

جزئیات کاملی در مورد مسائل پایداری یا سازگاری ارائه دهید

این جزئیات را در پاسخ به پرسشنامه ادغام Sheriffbot ارائه دهید. فقط در صورت وجود خطر برای Chrome، از ادغام مجدد اجتناب کنید.

یک اشکال امنیتی که برای مدت طولانی وجود داشته است دلیل موجهی برای جلوگیری از بازگشت مجدد نیست. صرفاً ارزان‌تر شده و بهره‌برداری از آن به‌عنوان روز n بسیار آسان‌تر شده است.

زمین به محض تایید ادغام می شود

بهترین دفاع ما ارسال سریع است.

سعی نکنید کد را مخفی یا مبهم کنید یا پیام ها را متعهد کنید

مهاجمان روز N باهوش هستند و روی این موضوع کار خواهند کرد.

با تیم امنیتی تماس بگیرید

اگر سوال یا ابهامی دارید، برای راهنمایی با تیم امنیتی تماس بگیرید.

از اینکه به این وصله توجه کردید متشکریم، زیرا فقط شما می‌توانید به جلوگیری از بهره‌برداری روز n کمک کنید.