The Chromium Chronicle #32: ระวังช่องว่างแพตช์

ตอนที่ 32: โดย Amy Ressler ใน Mountain View สหรัฐอเมริกา (กุมภาพันธ์ 2023)
ตอนก่อนหน้า

คุณเพิ่งแก้ไขข้อบกพร่องด้านความปลอดภัยใน Chrome ไป! ขอแสดงความยินดีและขอขอบคุณสำหรับการทำให้ Chrome ปลอดภัยยิ่งขึ้นสำหรับผู้ใช้ทุกคน แต่เดี๋ยวก่อน งานยังไม่เสร็จ มีเพียงคุณเท่านั้นที่จะช่วยแก้ไขช่องโหว่ได้

ช่องว่างห่างกันเท่าใด

ช่องว่างของแพตช์คือช่วงเวลาที่สำคัญระหว่างเวลาที่คุณแก้ไขด้านความปลอดภัยจนถึงเวลาที่ระบบจัดส่งการแก้ไขให้ผู้ใช้ในการอัปเดตเวอร์ชันเสถียรของ Chrome

เมื่อแก้ไขใน Chromium แล้ว ทุกคนที่ตรวจสอบที่เก็บซอร์สโค้ดของเราจะเข้าถึงการแก้ไขดังกล่าวได้ ซึ่งรวมถึงผู้ไม่ประสงค์ดีและนายหน้าแสวงหาประโยชน์จากนายหน้า

ระยะต่างๆ ระหว่างการแก้ไขที่ลงจอดและจัดส่ง ซึ่งอธิบายว่าเป็นช่องว่างของแผ่นยึด

ผู้ไม่ประสงค์ดีทำงานอย่างรวดเร็วเพื่อใช้ประโยชน์จากช่วงเวลานั้นระหว่างรายการเปลี่ยนแปลงที่ลงจอด (CL) กับผู้ใช้ที่เข้าถึงแพตช์นั้นในการอัปเดตช่องทางที่เสถียร ทำการวิศวกรรมย้อนกลับกับ CL เพื่อพัฒนาการแสวงหาประโยชน์หรือขายเพื่อการใช้งานกับผู้ที่อาจตกเป็นเหยื่อ ซึ่งเรียกว่าการแสวงหาประโยชน์แบบ n วัน

แม้ว่าเราจะไม่สามารถนำศักยภาพของการแสวงหาประโยชน์ n วันออกไปได้ทั้งหมด แต่การลดเวลาระหว่างการแก้ไขปัญหา และการแก้ไขการจัดส่งในการอัปเดตเวอร์ชันเสถียรของ Chrome จะทำให้ผู้ไม่ประสงค์ดีเหล่านี้มีชีวิตที่ดีขึ้น และลดโอกาสในการแสวงหาประโยชน์ 1 วันได้อย่างมาก

คุณจะช่วยป้องกันการแสวงหาประโยชน์ n วันได้อย่างไร

ระวังเรื่องช่องโหว่และทำดังต่อไปนี้

อัปเดตข้อบกพร่องด้านความปลอดภัยเป็น Status=Edited อย่างรวดเร็ว

อัปเดตเป็น Status=Fixed ทันทีที่ได้ CL พร้อมการแก้ไขด้านความปลอดภัย

ซึ่งจะช่วยให้การทำงานอัตโนมัติของ Sheriffbot อัปเดตข้อบกพร่องด้วยป้ายกำกับคำขอรวมที่เหมาะสมโดยอิงตามความรุนแรงและผลกระทบด้านความปลอดภัย

ให้รายละเอียดทั้งหมดเกี่ยวกับปัญหาเรื่องความเสถียรหรือความเข้ากันได้

ระบุรายละเอียดเหล่านี้ตอบแบบสอบถามเรื่องการผสานของ Sheriffbot คุณควรหลีกเลี่ยงการรวมกลับเมื่อมีความเสี่ยงต่อ Chrome เท่านั้น

ข้อบกพร่องด้านความปลอดภัยที่เกิดขึ้นมาเป็นเวลานานไม่ใช่เหตุผลที่ถูกต้องในการหลีกเลี่ยงการสำรองข้อมูล ราคาถูกลงและใช้ประโยชน์ได้ง่ายกว่ามากภายใน n วัน

การรวมที่ดินทันทีที่ได้รับอนุมัติ

การป้องกันที่ดีที่สุดของเราคือการจัดส่งอย่างรวดเร็ว

อย่าพยายามซ่อนหรือสร้างความสับสนให้กับโค้ดหรือคอมมิตข้อความ

ผู้โจมตี N วันเป็นคนฉลาดและจะช่วยแก้ปัญหานี้ได้

ติดต่อทีมรักษาความปลอดภัย

หากมีคำถามหรือข้อกังวล โปรดติดต่อทีมรักษาความปลอดภัยเพื่อขอความช่วยเหลือ

ขอขอบคุณที่ให้ความสำคัญกับแพตช์ เนื่องจากมีเพียงคุณเท่านั้นที่จะช่วยป้องกันการแสวงหาประโยชน์จาก n วันได้