Google は、公開された n デイおよびゼロデイの欠陥を攻撃者が悪用できるようになるパッチ ギャップの問題の増大に対処するため、Google Chrome のセキュリティ アップデートのスケジュールを隔週から毎週に変更しました。
この新しいスケジュールは、本日リリース予定の Google Chrome 116 から始まります。
Googleは、Chromiumはオープンソースプロジェクトであり、誰でもそのソースコードを閲覧し、開発者の議論、コミット、貢献者による修正をリアルタイムで精査できると説明している。
これらの変更、修正、セキュリティ アップデートは、Chrome の開発リリース (ベータ/カナリア) に追加され、安定した Chrome リリースにプッシュされる前に、安定性、パフォーマンス、または互換性の問題がテストされます。
ただし、この透明性には代償が伴います。これにより、高度な脅威アクターが修正が安定版 Chrome リリースの大規模なユーザー ベースに到達して悪用される前に欠陥を特定できるようになるからです。
Google の発表には、 「悪意のある者がこれらの修正の可視性を利用し、修正をまだ受け取っていないブラウザ ユーザーに適用するエクスプロイトを開発する可能性があります。」と書かれています。
「既知のパッチが適用されたセキュリティ問題のこの悪用は、n-day エクスプロイトと呼ばれます。」
パッチ ギャップとは、セキュリティ修正がテスト用にリリースされ、最終的にソフトウェアの公開リリースとして主要なユーザーに配布されるまでにかかる時間です。
Google は、パッチの間隔が平均 35 日だった数年前と 2020 年にこの問題を特定しました。Chrome 77 のリリースでは、この数を減らすために隔週のアップデートに切り替えました。
毎週の安定したアップデートに切り替えることで、Google はパッチのギャップをさらに最小限に抑え、n 日間の悪用機会を 1 週間に短縮します。
これは間違いなく正しい方向への一歩であり、Chrome のセキュリティにプラスの影響を及ぼしますが、n 日間の悪用をすべて阻止できるわけではないという意味では理想的ではないことを強調することが重要です。
更新の間隔を短縮すると、より複雑な悪用パスが必要となり、開発にさらに時間がかかる欠陥の悪用が阻止されます。
ただし、悪意のある攻撃者が既知の技術を使用して効果的なエクスプロイトを構築できるいくつかの脆弱性があり、これらのケースは依然として問題となります。
ただし、そのような場合でも、ユーザーがセキュリティ更新プログラムが入手可能になったらすぐに適用することを考慮すると、アクティブな悪用は最悪のシナリオでも最大 7 日間に短縮されます。
「すべてのセキュリティバグ修正がn日悪用に使用されるわけではありません。しかし、実際にどのバグが悪用され、どれが悪用されないのかはわかりません。そのため、すべての重大かつ重大度の高いバグは悪用されるものとして扱っています。」 Chrome セキュリティ チームのメンバーである Amy Ressler 氏はこう説明します。
「これらのバグをできるだけ早く優先順位付けして修正できるようにするために、多くの作業が行われています。」
「修正を放置して次の隔週更新に含まれるのを待つのではなく、毎週更新することで重要なセキュリティ バグ修正をより早く提供できるようになり、お客様と最も機密性の高いデータをより適切に保護できるようになります。」
最終的には、新しい更新頻度により計画外の更新の必要性が減り、ユーザーとシステム管理者はより一貫したセキュリティ メンテナンス スケジュールを遵守できるようになります。
脆弱性パッチのギャップもAndroid にとって大きな問題となっており、Google は最近、n-day の欠陥がゼロデイと同じくらい危険なものになっていると警告しました。
残念ながら、Android エコシステムでは、多くの場合、パッチがリリースされ、メーカーがそれを携帯電話のオペレーティング システムに導入するまでに数か月かかるため、Google が制御することは非常に困難です。
Comments