פרק 32: מאת Amy Ressler במאונטיין ויו, ארה"ב (פברואר 2023)
פרקים קודמים
אז תיקנת עכשיו באג באבטחה ב-Chrome! ברכותינו ותודה שהפכת את Chrome למאובטח יותר לכל המשתמשים. אבל רגע, העבודה שלכם עוד לא הסתיימה. רק אתה יכול לעזור במניעת הפער בתוספת התיקון.
מהו הפער עם התיקונים?
פער התיקונים הוא הזמן הקריטי בין מועד ההשקה של תיקון האבטחה לבין שליחת התיקון למשתמשים בעדכון ערוץ יציב של Chrome.
כשאתם מגיעים לפתרון ב-Chromium, התיקון זמין באופן ציבורי לכל מי שעוקב אחרי מאגרי קוד המקור שלנו, כולל גורמים זדוניים ומתווכים שמנצלים לרעה.
גורמים זדוניים עובדים במהירות כדי לנצל את הזמן שחולף בין רשימת השינויים שנחתמו (CL) לבין משתמשים שיש להם גישה לתיקון הזה בעדכון ערוץ יציב, לבצע הנדסה הפוכה של ה-CL כדי לפתח ניצול לניצול לרעה של קורבנות פוטנציאליים או למכור אותם לשימוש כנגד קורבנות פוטנציאליים. דבר זה נקרא ניצול ב-n-day.
אנחנו לא יכולים לחלוטין למנוע לחלוטין את האפשרות של ניצול לרעה ב-n ימים, אבל צמצום משך הזמן מרגע הגעת התיקון ועד לפתרון הבעיה של המשלוח בעדכון הערוץ היציב של Chrome מקשה מאוד על בעלי החיים הבעייתיים האלה ומפחיתים באופן משמעותי את האפשרות לניצול ב-n ימים.
איך אתם יכולים לעזור במניעת ניצול ב-n-day?
מתקנים את הפער במדבקות ומבצעים את הפעולות הבאות.
עדכון באגים באבטחה ל'סטטוס'=תוקן במהירות
מיד לאחר הנחיתה של ה-CL עם תיקון האבטחה, יש לעדכן אותו ל-Status=Fixed
.
האוטומציה של Sheriffbot מאפשרת לאוטומציה של Sheriffbot לעדכן את הבאג באמצעות התוויות המתאימות של בקשת המיזוג, על סמך חומרת האבטחה וההשפעה שלה.
יש לספק פרטים מלאים על בעיות ביציבות או בתאימות
מוסרים את הפרטים האלה בתגובה לשאלון המיזוג של Sheriffbot. כדאי להימנע ממיזוג חוזר רק אם יש סיכון ל-Chrome.
באג אבטחה שנמצא כבר זמן רב אינו סיבה תקפה להימנע ממיזוג נתונים. זה פשוט נעשה זול יותר והרבה יותר קל לנצל אותו כ-n-day.
מיזוגי קרקע מיד לאחר אישורם
ההגנה הטובה ביותר שלנו היא לשלוח במהירות.
אל תנסה להסתיר או לערפל קוד או לבצע הודעות
תוקפים של N-ימים הם חכמים והם יתעלמו בעניין הזה.
יש לפנות לצוות האבטחה
אם יש לך שאלות או חששות, ניתן ליצור קשר עם צוות האבטחה לקבלת עזרה.
תודה שטיפלתם בתיקון, כי רק אתם יכולים לעזור למנוע ניצול ב-n ימים.