Episode 32: oleh Amy Ressler di Mountain View, Amerika Serikat (Februari, 2023)
Episode sebelumnya
Anda baru saja memperbaiki bug keamanan di Chrome. Selamat dan terima kasih telah membuat Chrome lebih aman bagi semua pengguna. Tapi tunggu, pekerjaan Anda belum selesai. Hanya Anda yang dapat membantu mengingat tentang patch gap.
Apa yang dimaksud dengan {i>patch gap<i}?
Kesenjangan patch adalah waktu penting antara saat Anda mendapatkan perbaikan keamanan dan saat perbaikan dikirimkan kepada pengguna dalam update saluran Stabil Chrome.
Jika Anda menemukan perbaikan di Chromium, perbaikan tersebut akan tersedia secara publik bagi siapa saja yang memantau repositori kode sumber kami—termasuk pihak tidak bertanggung jawab dan broker eksploit.
Pihak tidak bertanggung jawab bekerja dengan cepat untuk memanfaatkan waktu antara daftar perubahan yang ditemukan (CL) dan pengguna yang memiliki akses ke patch tersebut dalam update saluran stabil, merekayasa balik CL untuk mengembangkan eksploitasi untuk memanfaatkan atau menjual untuk digunakan terhadap calon korban. Ini disebut eksploitasi n-hari.
Meskipun kami tidak dapat sepenuhnya menghapus potensi eksploitasi n hari, mengurangi waktu antara perbaikan ditemukan dan perbaikan pengiriman dalam update saluran Stabil Chrome akan semakin mempersulit pihak tidak bertanggung jawab tersebut dan sangat mengurangi potensi eksploitasi n hari.
Bagaimana Anda dapat membantu mencegah eksploitasi n-hari?
Atasi celah {i>patch <i}dan lakukan hal-hal berikut.
Mengupdate bug keamanan ke Status=Diperbaiki dengan cepat
Segera setelah Anda mendapatkan CL dengan perbaikan keamanan, update ke Status=Fixed.
Hal ini memungkinkan otomatisasi Sheriffbot memperbarui bug dengan label permintaan penggabungan yang sesuai berdasarkan tingkat keparahan dan dampak keamanan.
Memberikan detail lengkap tentang masalah stabilitas atau kompatibilitas
Berikan detail ini sebagai tanggapan atas kuesioner penggabungan Sheriffbot. Hanya pertimbangkan untuk menghindari penggabungan kembali jika ada risiko bagi Chrome.
Bug keamanan yang telah ada dalam waktu lama bukan alasan yang valid untuk menghindari penggabungan. Data ini menjadi lebih murah dan lebih mudah dieksploitasi sebagai satu hari {i>n-day<i}.
Penggabungan lahan segera setelah disetujui
Pertahanan terbaik kita adalah mengirim dengan cepat.
Jangan mencoba menyembunyikan atau meng-obfuscate kode atau melakukan pesan commit
Penyerang N-day adalah orang yang cerdas dan akan mengatasi hal ini.
Hubungi tim keamanan
Jika Anda memiliki pertanyaan atau masalah, hubungi tim keamanan untuk mendapatkan bantuan.
Terima kasih atas perhatian Anda terhadap patch ini, karena hanya Anda yang dapat membantu mencegah eksploitasi setiap hari.