エピソード 32: Amy Ressler、米国マウンテン ビュー(2023 年 2 月)
前のエピソード
これで、Chrome のセキュリティ バグが修正されました。すべてのユーザーに対して Chrome の安全性を高めていただき、ありがとうございます。ただし、作業はまだ完了していません。パッチギャップに対処できるのは、あなただけです。
パッチギャップとは
パッチギャップは、セキュリティ修正を適用してから Chrome の Stable チャンネル アップデートでユーザーに修正を配信するまでの重要な期間です。
修正が Chromium に反映されると、不正な行為者やエクスプロイト ブローカーを含め、ソースコード リポジトリを監視しているすべてのユーザーにその修正が公開されます。
不正な行為者は、リリースされた変更リスト(CL)と、安定版のチャンネル アップデートでパッチにアクセスできるユーザー間の時間を利用して、潜在的な被害者に対して悪用または販売するためのエクスプロイトを開発するために CL をリバース エンジニアリングします。これを n-day エクスプロイトと呼びます。
Google は n 日以内に悪用される可能性を完全に排除することはできませんが、修正の公開から Chrome の Stable チャンネル アップデートで修正がリリースされるまでの時間を短縮することで、不正な行為者にとって非常に困難になり、n 日以内に悪用される可能性を大幅に低減できます。
n 日間のエクスプロイトを防止するには?
パッチギャップに注意しながら、以下を行います。
セキュリティ バグを速やかにステータス=修正済みに更新
セキュリティ修正を含む CL を入手したら、すぐに Status=Fixed に更新します。
これにより、Sheriffbot の自動化は、セキュリティの重大度と影響に基づいて、適切なマージ リクエストのラベルを使用してバグを更新できます。
安定性または互換性の問題に関する詳しい情報をご提供ください
Sheriffbot の統合アンケートへの回答として、次の詳細情報を提供します。結合は、Chrome にリスクがある場合のみ回避するようにしてください。
長期間存在しているセキュリティ バグは、バックマージを回避する正当な理由にはなりません。コストが安くなり、n-day なら利用がはるかに容易になりました。
承認されたらすぐに結合する
Google の最善策は迅速な発送です。
コードや commit メッセージの非表示や難読化を試行しない
N 日間攻撃者は賢く、これを回避します。
セキュリティ チームに問い合わせる
ご不明な点がございましたら、セキュリティ チームにお問い合わせください。
数日間の悪用を防止できるのはあなただけですので、パッチをご利用いただきありがとうございます。