Llega un importante cambio relacionado con las actualizaciones de seguridad de Chrome con el fin de que los usuarios puedan tener la versión parcheada lo más rápido posible, minimizando los posibles perjuicios de tener que esperar un lapso de tiempo más prolongado, donde los atacantes podrían aprovechar las vulnerabilidades localizadas y ya solventadas, a falta de distribuirlas, para llevar a cabo sus ataques.
Como señaló la compañía en un comunicado, a partir de la versión Chrome 116, el navegador de la compañía tendrá una actualización de seguridad de periodicidad semanal, sin que ello vaya en perjuicio en la manera en el que los usuarios usan o actualizan el navegador.
Los lanzamientos importantes siguen manteniéndose cada cuatro semanas
Ahora bien, Google seguirá manteniendo los lanzamientos importantes cada cuatro semanas, donde simplemente, en lugar de enviar una actualización de seguridad entre hito a hito, esto es, sobre cada 15 días, ahora las actualizaciones llegarán cada semana, reduciendo las posibilidades de ataque.
Explican que Chrome, al estar basado en el proyecto de código abierto Chromium, al igual que otros navegadores, ello permite que haya usuarios y organizaciones que puedan revisarlo y avisar de posibles vulneraciones, que una vez solventadas, los usuarios de los canales Canary (y Beta) podrían revisar de posibles inestabilidades para su corrección antes de llegar al público en general.
El inconveniente de tener el código fuente accesible
Pero además, hay malos actores que aprovecharán el acceso al código fuente para observar las vulnerabilidades existentes, incluso las que ya se encuentren corregidas, para desarrollar exploits y dirigirlas hacia los usuarios que aún cuenten con las versiones vulnerables.
Acorde a Google:
Esta explotación de un problema de seguridad conocido y parcheado se conoce como explotación de día n.
Por ello entiende que tienen que enviar las correcciones de seguridad lo más ante posible para minimizar lo que llaman «brecha de parche», que se define como el «tiempo entre el lanzamiento del parche y el envío en una actualización de canal estable».
Minimizando los ataques n-day
A modo de reflexión, Google dice que:
Si bien no podemos eliminar por completo el potencial de explotación de n-day, una cadencia de actualización de seguridad semanal de Chrome permite enviar correcciones de seguridad 3,5 días antes en promedio, lo que reduce en gran medida la ventana ya pequeña para que los atacantes de n-day desarrollen y usen una vulnerabilidad. contra posibles víctimas y haciéndoles la vida mucho más difícil.
Y añaden que tratan todos los errores críticos y de alta gravedad como si llegaran a ser explotados, si bien desconoce cuales de los errores críticos llegan a ser realmente explotados de los que no, buscando la mejor protección de los usuarios y de sus datos más sensibles.
Más información: Google