Odcinek 32: Amy Ressler w Mountain View, USA (luty 2023 r.)
Poprzednie odcinki
Właśnie udało Ci się naprawić błąd zabezpieczeń w Chrome. Dziękujemy, że dbasz o bezpieczeństwo wszystkich użytkowników Chrome. Ale to jeszcze nie koniec Twojej pracy. Tylko Ty możesz pomóc sobie z nimi radzić.
Czym jest lupa?
Przerwa w dostępie do poprawki to krytyczny czas pomiędzy udostępnieniem poprawki zabezpieczeń a przesłaniem poprawki do użytkowników w ramach aktualizacji kanału stabilnego Chrome.
Gdy znajdziesz w Chromium poprawkę, będzie ona publicznie dostępna dla wszystkich osób, które monitoruje nasze repozytoria kodu źródłowego, w tym nieuczciwych podmiotów i brokerów korzystających z wykorzystania ataku.
Nieuczciwe podmioty szybko starają się wykorzystać czas, jaki upływa między wyświetleniem listy zmian a dostępem użytkowników do danej poprawki w ramach stabilnej aktualizacji kanału, analizując wstecznie listę zmian, aby opracować własny exploit na atak i sprzedać go do wykorzystania przed potencjalnymi ofiarami. Jest to tzw. wykorzystywanie w ciągu dnia.
Chociaż nie jesteśmy w stanie całkowicie usunąć potencjalnego wykorzystywania, skrócenie czasu między wprowadzaniem poprawki a naprawieniem aktualizacji w wersji stabilnej Chrome znacznie utrudnia życie tym nieuczciwym podmiotom i znacznie zmniejsza ryzyko wykorzystywania tych informacji w ciągu kilku dni.
Jak możesz pomóc zapobiegać wykorzystywaniu seksualnego dziecka?
Zwróć uwagę na luki w zabezpieczeniach i wykonaj te czynności.
Zaktualizuj błędy związane z bezpieczeństwem do stanu=„Szybko naprawiono”
Gdy tylko otrzymasz wersję CL zawierającą poprawkę zabezpieczeń, zaktualizuj ją do wersji Status=Fixed.
Dzięki temu automatyzacja narzędzia Sheriffbot będzie mogła zaktualizować błąd, dodając odpowiednie etykiety próśb o połączenie na podstawie wagi i wpływu zabezpieczeń.
Podaj szczegółowe informacje o problemach ze stabilnością lub zgodnością
Podaj te informacje w odpowiedzi na kwestionariusz scalania Sheriffbota. Unikaj ponownego scalania tylko wtedy, gdy istnieje ryzyko dla Chrome.
Występujący od dawna błąd w zabezpieczeniach nie jest odpowiednim powodem do zapobiegania powielaniu błędów. Stało się ono tańsze i łatwiejsze do wykorzystania w ciągu dnia.
Scalenie gruntów, gdy tylko zostaną zatwierdzone
Naszym najlepszym zabezpieczeniem jest szybkie wysyłanie.
Nie próbuj ukrywać ani zaciemniać kodu ani komunikatów
Osoby przeprowadzające atak w ciągu N dni są sprytne i poradzi sobie z tym problemem.
Skontaktuj się z zespołem ds. bezpieczeństwa
Jeśli masz pytania lub wątpliwości, skontaktuj się z zespołem ds. bezpieczeństwa.
Dziękujemy za dbanie o tę poprawkę – tylko Ty możesz pomóc w zapobieganiu nadużyciom.