Aflevering 32: door Amy Ressler in Mountain View, VS (februari 2023)
Vorige afleveringen
U heeft dus zojuist een beveiligingsfout in Chrome opgelost! Gefeliciteerd en bedankt dat u Chrome veiliger heeft gemaakt voor alle gebruikers. Maar wacht, je werk is nog niet klaar. Alleen jij kunt helpen de patch-kloof te verkleinen.
Wat is de patch-kloof?
De patchkloof is de kritieke tijd tussen het moment waarop u de beveiligingsoplossing binnenhaalt en het moment waarop de oplossing naar gebruikers wordt verzonden in een stabiele kanaalupdate van Chrome.
Wanneer je een oplossing in Chromium plaatst, is die oplossing openbaar beschikbaar voor iedereen die onze broncodeopslagplaatsen in de gaten houdt, inclusief slechte actoren en exploitbrokers.
Slechte actoren werken snel om te profiteren van de tijd tussen de gelande changelist (CL) en gebruikers die toegang hebben tot die patch in een stabiele kanaalupdate, waarbij ze de CL reverse-engineeren om een exploit te ontwikkelen die kan worden gebruikt of verkocht voor gebruik tegen potentiële slachtoffers. Dit wordt n-day exploitatie genoemd.
Hoewel we het potentieel van misbruik van n-day niet volledig kunnen elimineren, maakt het verkorten van de tijd tussen het binnenkomen van de fix en het verzenden van de fix in een stabiele kanaalupdate van Chrome het leven veel moeilijker voor die slechte actoren en verkleint het potentieel voor n-day aanzienlijk. dag exploitatie.
Hoe kunt u n-day-uitbuiting helpen voorkomen?
Let op de patchopening en doe de volgende dingen.
Update beveiligingsbugs naar Status=Snel opgelost
Zodra u de CL met de beveiligingsfix hebt geland, updatet u deze naar Status=Fixed
.
Hierdoor kan de Sheriffbot-automatisering de bug bijwerken met de juiste samenvoegverzoeklabels op basis van de ernst en impact van de beveiliging.
Geef volledige details over stabiliteits- of compatibiliteitsproblemen
Geef deze gegevens op als antwoord op de Sheriffbot-fusievragenlijst. Overweeg alleen om opnieuw samenvoegen te vermijden als er risico is voor Chrome.
Een beveiligingsbug die al heel lang bestaat, is geen geldige reden om backmerging te voorkomen. Het is gewoon goedkoper geworden en veel gemakkelijker te exploiteren als een n-day.
Landen worden samengevoegd zodra ze zijn goedgekeurd
Onze beste verdediging is om snel te verzenden.
Probeer geen code te verbergen of onleesbaar te maken, of berichten vast te leggen
N-day-aanvallers zijn slim en zullen dit omzeilen.
Neem contact op met het beveiligingsteam
Als u vragen of opmerkingen heeft, kunt u contact opnemen met het beveiligingsteam voor hulp.
Bedankt dat je op de patch let, want alleen jij kunt n-day-uitbuiting helpen voorkomen.