에피소드 32: 미국 마운틴뷰의 에이미 레슬러 (2023년 2월)
이전 에피소드
Chrome의 보안 버그를 수정했습니다. 모든 사용자를 위해 Chrome의 보안을 강화해 주셔서 감사합니다. 하지만 잠깐만, 작업이 아직 끝나지 않았습니다. 패치 차이에 신경 쓰지 않아도 되는 거죠.
패치 격차가 얼마나 되나요?
패치 격차는 보안 수정사항을 적용하고 Chrome의 안정화 버전 채널 업데이트를 통해 사용자에게 수정사항이 제공되는 시점 사이의 중요한 시간입니다.
Chromium에 수정사항이 적용되면 악의적인 행위자 및 악용 브로커 등 Google의 소스 코드 저장소를 모니터링하는 모든 사용자에게 수정사항이 공개적으로 제공됩니다.
악의적인 행위자는 안정적인 채널 업데이트에서 기존 변경 목록 (CL)과 사용자가 해당 패치에 액세스할 수 있는 시간 사이의 시간을 활용하기 위해 재빨리 노력하고, 잠재적인 피해자를 대상으로 활용하거나 판매할 수 있는 악용 사례를 개발하기 위해 CL을 리버스 엔지니어링합니다. 이를 n일 악용이라고 합니다.
Google에서 N일 악용 가능성을 완전히 없앨 수는 없지만 Chrome의 안정화 버전 채널 업데이트를 통한 수정사항 적용 시점 사이의 시간을 단축하면 악의적인 행위자의 작업이 훨씬 더 어려워지고 N일 악용 가능성도 크게 줄어듭니다.
N일 악용을 방지할 수 있는 방법은 무엇인가요?
패치 차이에 주의하고 다음 작업을 수행합니다.
보안 버그를 Status=Fixed로 빠르게 업데이트
보안 수정이 포함된 CL이 설치되면 즉시 Status=Fixed
로 업데이트하세요.
이렇게 하면 Sheriffbot 자동화는 보안 심각도 및 영향에 따라 적절한 병합 요청 라벨로 버그를 업데이트할 수 있습니다.
안정성 또는 호환성 문제에 관한 전체 세부정보 제공
Sheriffbot 병합 설문지에 응답하여 이러한 세부정보를 제공합니다. Chrome에 위험이 있는 경우에만 역 병합을 피하세요.
오랫동안 존재한 보안 버그는 백머징을 피할 만한 타당한 이유가 아닙니다. 그냥 n-day라서 악용하기가 훨씬 더 저렴해졌을 뿐입니다.
승인되는 즉시 토지 병합
우리의 최선의 방어는 빠른 배송입니다.
코드를 숨기거나 난독화하거나 메시지를 커밋하려고 하지 마세요.
N일 공격자들은 지능적이어서 이 문제를 해결합니다.
보안팀에 문의하기
질문이나 우려사항이 있는 경우 보안팀에 문의하여 도움을 받으세요.
n-day 악용을 방지하는 데 도움을 줄 수 있는 사람만이 이 패치에 관심을 가져 주셔서 감사합니다.