Chromium Chronicle #32:留意修補程式差距

第 32 集:由 Amy Ressler 於美國山景城提供 (2023 年 2 月)
先前劇集

您剛剛修正了 Chrome 的錯誤!恭喜,感謝您進一步確保 Chrome 安全無虞,造福所有使用者。但是,您的作業尚未完成。只有您能協助修補差距。

修補時間差距是什麼?

「修補時間差距」是指在您啟動安全性修正作業,以及從 Chrome 穩定版更新發布修正項目到使用者發布修正項目之間所經歷的時間。

當你在 Chromium 發布修正程式後,凡是監控原始碼存放區的使用者 (包含惡意行為人和惡意攻擊程式) 都會公開發布修正程式。

修正通過和出貨的各個階段,具體呈現修補程式缺口。

不肖人士會迅速取得市場變更清單 (CL) 之間的時間,並透過穩定版本更新取得該修補程式的使用者存取該修補程式,然後對 CL 進行反向工程,開發出能利用或銷售給潛在受害者的漏洞。這稱為「n 天漏洞攻擊」。

雖然我們無法完全消除零時差攻擊的潛在機會,但藉由縮短 Chrome 穩定版更新修正運送問題之間的所需時間,也會大幅降低這類惡意行為人的攻擊潛力,可大幅降低這類惡意攻擊的風險。

如何防範 n 天漏洞攻擊?

請留意修補程式差距並執行以下動作。

將安全性錯誤更新為「狀態=快速修正」

導入 CL 並修正安全性修正項目後,請立即更新為 Status=Fixed

這可讓 Sheriffbot 自動化功能更新錯誤,並根據安全性嚴重程度和影響程度使用適當的合併要求標籤。

提供穩定性或相容性問題的完整詳細資料

請在回應 Sheriffbot 合併問卷中提供這些詳細資料。請只在 Chrome 有風險時,才建議避免使用返回合併。

長期以來存在的安全性錯誤並不是避免反向合併的合理原因。這套系統也越來越便宜,而且更容易發動攻擊。

核准後立即合併土地

我們的最佳防禦方式是快速出貨。

請勿嘗試隱藏/模糊處理程式碼或確認訊息

N 天攻擊者非常聰明,將會解決這個問題。

與安全性團隊聯絡

如有任何問題或疑慮,請與安全性團隊聯絡尋求協助。

感謝你記下這個修補程式,因為只有這麼做能防止 n 天惡意攻擊。