Частные исследователи, независимые лаборатории безопасности и производители конкурирующих браузеров часто сообщают вендорам об обнаруженных уязвимостях, чтобы помочь им устранить и защитить миллионы пользователей. Подобная практика довольно распространена в индустрии. Например, когда эксперты по безопасности сообщают об ошибках Google и Apple, компании выпускают обновление с исправлением. Однако эффективность защиты зависит от того, насколько быстро компания реагирует, чтобы подготовить патч.
Google Chrome построен на базе проекта с открытым исходным кодом Chromium. Когда исследователь безопасности сообщает об уязвимости Chromium компании Google, эти проблемы анализируются участниками и экспертами, которые рассматривают изменения в исходном коде. Затем исправления выкладываются в каналы Chrome Canary, Dev и Beta, проверяются на стабильность, совместимость и производительность, после чего становятся доступны пользователям на стабильном канале.
Обычно Google выпускает крупные обновления (т.е. обновление версии, например, с 115 до 116) для стабильного канала Chrome раз в четыре недели. В течение месяца между текущей и следующей стабильной версией браузера Chrome получает обновления безопасности (и экстренные обновления), устраняющее уязвимости, которые были найдены в браузере. Такие обновления безопасности стали выходить раз в две недели с момента выхода Chrome 77 в 2020 году.
Google считает, что открытость проекта Chromium позволяет сторонним разработчикам находить ошибки и предлагать их исправления, но в то же время создает серьезную проблему. Злоумышленники, следящие за ситуацией, могут узнать о новых уязвимостях и разработать эксплойты для незащищенных версий браузера. Это не угрозы «нулевого дня», поскольку Google уже знает об этих недостатках, а так называемые n-day эксплойты. Поскольку выпуск патчей безопасности занимает несколько недель, многие пользователи могут быть подвержены воздействию этих n-day эксплойтов. Компания Google стремится минимизировать последствия таких угроз.
Компания Apple недавно начала тестировать систему «Быстрый ответ на угрозы», позволяющую оперативно устранять уязвимости в системе безопасности, не дожидаясь ежемесячного обновления iOS, iPadOS и macOS. Это позволит пользователям гораздо быстрее защитить свои устройства от угроз «нулевого дня». Аналогичным образом Google хочет поступить и с браузером Chrome, перейдя на более быстрый цикл обновления системы безопасности.
Google Chrome станет получать обновления безопасности каждую неделю
Компания Google официально объявила о том, что обновления системы безопасности для Chrome будут выходить еженедельно, а не раз в две недели. Это позволит сократить время использования уязвимостей хакерами и быстрее защитить пользователей от угроз. Еженедельные исправления безопасности для Chrome будут включать в себя исправления всех критических ошибок и ошибок высокой степени серьезности, обнаруженных в предыдущей сборке браузера. Короткий цикл обновлений поможет Google предотвратить незапланированные обновления (экстренные обновления). Переход на еженедельные исправления безопасности произойдет сразу после выхода Chrome 116 15 августа 2023 года.
Данное изменение может положительно сказаться на других браузерах на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi. Они также смогут получать обновления безопасности быстрее, но, в конечном итоге, все будет зависеть от частоты выпуска обновлений безопасности в этих браузерах.
В публикации Google сообщается , что компания также тестирует новый баннер уведомления об обновлениях Chrome. Чтобы привлечь внимание пользователя, браузер будет отображать сообщения: «Завершите обновление», «Перезапустите браузер для обновления», «Доступна новая версия Chrome». Этот баннер-уведомление распространяется в экспериментальном порядке на 1% пользователей.
Обновления программ, что нового
• Роскомнадзор может ограничить работу 8 зарубежных хостинг-провайдеров в России
• Приложение Газпромбанка для Android удалено из Google Play
• Samsung One UI 7 сравнили с iOS 18: Что нового на экране блокировки и в панели быстрого запуска
• Обновление Intel ARC Game On Driver 32.0.101.6319 Non-WHQL. Поддержка Indiana Jones and The Great Circle, Marvel Rivals и Path of Exile 2
• OpenAI представила ChatGPT Pro с эксклюзивной моделью o1 за 200$ в месяц
• Samsung выпустила бета-версию One UI 7 с редизайном интерфейса и Now Bar