Chromium Chronicle #32:注意补丁问题

第 32 集:作者:Amy Ressler,美国山景城(2023 年 2 月)
上一集

这样,您刚修复了 Chrome 中的一个安全错误!恭喜!感谢您为所有用户提升 Chrome 的安全性。但是别急,你的工作还没有完成。只有您自己可以帮忙解决修补间隙问题。

补丁之间有什么间隔?

补丁间隔是指从您提交安全修复程序到通过 Chrome 稳定版更新向用户发布修复程序之间的关键时间。

当您在 Chromium 中修复漏洞后,该修复方案会公开显示给监控我们源代码库的所有用户,包括不法分子和利用代理商。

从修复问题到修复修复所经历的各个阶段,称为补丁程序间隙。

不法分子会迅速采取措施,利用已发布的更改列表 (CL) 到用户能够通过稳定渠道更新获取该补丁之间的这段时间,对 CL 进行逆向工程,以开发出利用或出售手段来攻击潜在受害者。这就是所谓的“N 天攻击”。

虽然我们无法完全消除 n 天漏洞攻击的可能性,但如果缩短从修复问题得到修复到通过 Chrome 稳定版更新修复发布之间的间隔时间,会加大不法分子的工作负担,并大大降低 n 天漏洞攻击的可能性。

如何防止 N-day 漏洞攻击?

注意补丁间隙并执行以下操作。

将安全错误更新为 Status=Fixed

在获得包含安全修复程序的 CL 后,请立即将其更新到 Status=Fixed

这样,Sheriffbot 自动化功能即可根据安全性严重程度和影响,使用适当的合并请求标签更新 bug

提供有关稳定性或兼容性问题的完整详细信息

提供这些详细信息,回答 Sheriffbot 合并调查问卷的要求。请仅在 Chrome 面临风险时考虑避免返回合并。

已经存在很长时间的安全 bug 不是避免重新合并的正当理由。它现在价格更低,而且更容易被利用。

获批后立即合并土地

我们最好的防御就是快速发货。

请勿尝试隐藏或混淆代码或提交消息

N 天攻击者非常聪明,可以解决这一问题。

与安全团队联系

如果您有任何问题或疑虑,请与安全团队联系以获取帮助。

感谢您关注此补丁,因为只有您可以帮助防范 n-day 攻击。