Google minimize la «brecha de parche» de Chrome a la mitad, de 33 a 15 días


Google Chrome

Los ingenieros de seguridad de Google dijeron la semana pasada que redujeron con éxito la «brecha de parches» en Google Chrome de 33 días a solo 15 días.

El término «brecha de parche» se refiere al tiempo que toma desde que se repara un error de seguridad en una biblioteca de código abierto hasta que la misma solución llega al software program que united states esa biblioteca en specific.

En el panorama actual del software package, donde muchas aplicaciones dependen de componentes de código abierto, la «brecha de parche» se considera un riesgo de seguridad importante.

La razón es porque cuando se corrige un mistake de seguridad en una biblioteca de código abierto, los detalles sobre ese error se hacen públicos, principalmente debido a la naturaleza pública y la apertura de la mayoría de los proyectos de código abierto.

Los piratas informáticos pueden usar los detalles sobre estos defectos de seguridad para crear exploits y lanzar ataques contra el software package que depende del componente vulnerable, antes de que el fabricante de application tenga la oportunidad de lanzar un parche.

Si el fabricante de software package tiene un calendario de lanzamiento fijo, con actualizaciones que salen cada pocas semanas o meses, la brecha del parche puede proporcionar a los piratas informáticos una ventana de ataque que la mayoría de los proyectos de program no pueden manejar.

El navegador world-wide-web Chrome es uno de estos proyectos que se ven afectados por una brecha en el parche porque utiliza una gran cantidad de componentes de código abierto, desde la biblioteca de visualización de PDFium PDF al motor V8 JavaScript, solo por nombrar algunos.

En 2019, los investigadores de seguridad de Exodus Intelligence destacaron en dos ocasiones que los atacantes pueden explotar la gran brecha de parche de Chrome.

Primero en abrily luego en septiembre, Los investigadores de Exodus desarrollaron un código de explotación de prueba de concepto para errores de seguridad corregidos en el motor V8 JavaScript que aún no habían llegado a la foundation de código de Chrome.

Google tomó nota

La buena noticia para los usuarios de Chrome es que la investigación del equipo de Exodus sobre el tema y las advertencias posteriores no pasaron desapercibidas para el equipo de seguridad de Chrome.

En el resumen de seguridad trimestral publicado recientemente por Chrome para el cuarto trimestre de 2019, los ingenieros de Google dijeron que han trabajado para reducir la brecha en el parche de Chrome.

«Ahora realizamos actualizaciones periódicas cada dos semanas, que contienen las últimas correcciones de seguridad severas». dijo Andrew R. Whalley, miembro del equipo de seguridad de Chrome.

«Esto ha reducido el &#39intervalo de parche&#39 medio de 33 días en Chrome 76 a 15 días en Chrome 78, y seguimos trabajando para mejorarlo», agregó.

¿Actualizaciones de seguridad de Chrome todas las semanas?

Como explicó Whalley, la respuesta de Google para reducir la brecha en el parche de Chrome fue lanzar soluciones de seguridad con más frecuencia. Dado que Google planea reducir aún más la brecha en el parche, lo más probable es que pronto podamos ver las correcciones de seguridad de Chrome publicadas semanalmente, ya que los ingenieros de Google envían correcciones de seguridad críticas de las bibliotecas de código abierto a los navegadores Chrome de los usuarios.

Dado que Chrome cuenta con un mecanismo de actualización silenciosa que está activado de forma predeterminada para todos los usuarios, en la mayoría de los casos, los usuarios finales de Chrome no tendrán que tomar ninguna medida para recibir las correcciones.

Problemas similares con la «brecha de parches» también afectan el segundo gran proyecto de application de Google, el sistema operativo Android, que también se basa en una gran cantidad de componentes de código abierto. Sin embargo, entregar actualizaciones de seguridad para Android es … un desastre, por decirlo de manera intermedia.



Enlace a la noticia primary