Google está buscando adelantarse a las vulnerabilidades de alta gravedad en su navegador Chrome acortando el tiempo entre las actualizaciones de seguridad.
La marca espera que las actualizaciones más frecuentes den a los malos actores menos tiempo para acceder y explotar las fallas de día n y día cero que se encuentran en el código del navegador Chrome.
A partir del miércoles, la marca ha lanzado Google Chrome 116, que incluye el nuevo horario. Anteriormente una actualización quincenal, Chrome ahora recibirá actualizaciones de seguridad semanales.
Con la naturaleza de código abierto de Chromium, cualquiera puede acceder al código fuente del navegador Chrome, «enviar cambios para su revisión y ver los cambios realizados por cualquier otra persona, incluso correcciones de errores de seguridad», dijo Google en su blog de seguridad.
Por lo general, los miembros de la comunidad de los canales Canary y Beta de Google notifican a la marca varios problemas de estabilidad, compatibilidad o rendimiento que pueden abordarse antes de que se envíen actualizaciones estables al público. Esta apertura es de doble filo; Sin embargo, como los malos actores tienen el mismo acceso que los usuarios de buena fe, lo que les permite detalles en tiempo real sobre las vulnerabilidades antes de que las actualizaciones se implementen en una amplia gama de usuarios públicos. Si se aprovecha, tal ataque se llama explotación de n-day.
Esta es la razón por la que Google espera que acortar el tiempo entre las actualizaciones de seguridad pueda ayudar a disuadir a los usuarios nefastos de obtener información sobre vulnerabilidades en el código de Chromium. Por lo general, el tiempo entre actualizaciones de seguridad se usa para probar antes de una versión pública. Google observó por primera vez que esto era un problema en 2020 cuando su brecha de parches entre actualizaciones era de aproximadamente 35 días. Luego cambió a un programa de actualización quincenal con el lanzamiento de Chrome 77.
La marca señaló que este último cronograma aún no disuadirá todas las hazañas de n-day, pero puede minimizarlas aún más. En la práctica, las actualizaciones de seguridad más frecuentes ofrecen menos tiempo para que los malos actores exploten fallas que requieren rutas detalladas y más tiempo de desarrollo. Con el tiempo, también existe la probabilidad de que los malos actores encuentren formas de crear exploits más rápidos.
También existe la posibilidad de que la frecuencia de las actualizaciones de seguridad eventualmente se trunque aún más, con parches que se implementan tan pronto como estén disponibles.
Google declaró que ahora aborda «todos los errores críticos y de alta gravedad como si fueran a ser explotados».
Aun así, la marca ha llegado a ver los exploits de día n como tan peligrosos como los exploits de día cero, que son vulnerabilidades que antes eran desconocidas y, por lo tanto, no se abordaron con un parche o actualización.
Google también anunció recientemente sus planes para habilitar el soporte separado del navegador Chrome para ChromeOS a partir de la versión ChromeOS 116. Esta actualización beneficiaría especialmente a los Chromebooks, extendiendo los netbooks mucho más allá de su vida útil típica del software. El lanzamiento de ChromeOS 116 está programado para el 22 de agosto.
