Эта страница переведена с помощью Cloud Translation API.

Chromium Chronicle #32: Обратите внимание на пробел в патче

Эпизод 32: Эми Ресслер, Маунтин-Вью, США (февраль 2023 г.)
Предыдущие серии

Итак, вы только что исправили ошибку безопасности в Chrome! Поздравляем и благодарим вас за то, что вы сделали Chrome более безопасным для всех пользователей. Но подождите, ваша работа еще не закончена. Только вы можете помочь устранить пробел в патче.

Какой пробел в патче?

Промежуток между исправлениями — это критический момент между выпуском исправления безопасности и его отправкой пользователям в стабильном канале обновления Chrome.

Когда вы размещаете исправление в Chromium, оно становится общедоступным для всех, кто отслеживает наши репозитории исходного кода, включая злоумышленников и брокеров эксплойтов.

Этапы между получением и отправкой исправления, которые называются пробелом в патче.

Злоумышленники работают быстро, чтобы воспользоваться временем между полученным списком изменений (CL) и пользователями, имеющими доступ к этому патчу в обновлении стабильного канала, перепроектируя CL для разработки эксплойта, который можно использовать или продать для использования против потенциальных жертв. Это называется n-дневной эксплуатацией .

Хотя мы не можем полностью исключить возможность использования n-day, сокращение времени между получением исправления и его отправкой в стабильном канале обновления Chrome значительно усложняет жизнь этим злоумышленникам и значительно снижает вероятность n- дневная эксплуатация.

Как вы можете предотвратить n-day эксплуатацию?

Обратите внимание на пробел в патче и выполните следующие действия.

Обновить ошибки безопасности до статуса = быстро исправить.

Как только вы получите CL с исправлением безопасности, обновите его до Status=Fixed .

Это позволяет автоматическому роботу Sheriffbot обновлять ошибку с помощью соответствующих меток мерж-реквеста в зависимости от серьезности безопасности и воздействия.

Предоставьте полную информацию о проблемах со стабильностью или совместимостью.

Предоставьте эти данные в ответ на вопросник по слиянию Sheriffbot. Рассмотрите возможность избежать обратного слияния только в том случае, если существует риск для Chrome.

Ошибка безопасности, существующая уже долгое время, не является веской причиной избегать обратного слияния. Просто он стал дешевле и его гораздо проще эксплуатировать как n-day.

Земли объединяются, как только они будут одобрены

Наша лучшая защита — быстрая доставка.

Не пытайтесь скрыть или запутать код или зафиксировать сообщения.

Злоумышленники N-day умны и будут обойти эту проблему.

Обратитесь в службу безопасности

Если у вас есть какие-либо вопросы или сомнения, обратитесь за помощью в службу безопасности .

Благодарим вас за внимание к патчу, потому что только вы можете помочь предотвратить n-day эксплуатацию.