Google Chrome commencera bientôt à recevoir les mises à jour de sécurité plus rapidement, car les ingénieurs en sécurité de Google ont réussi à réduire le «patch gap» du navigateur de 33 jours à seulement 15 jours.
Le terme écart de correctif fait référence au temps qu'il faut entre le moment où une vulnérabilité est corrigée dans une bibliothèque open source et le moment où elle est corrigée dans un logiciel qui utilise cette même bibliothèque. Les lacunes de correctifs sont considérées comme un risque de sécurité majeur car de nombreuses applications logicielles reposent sur les mêmes composants open source.
Une fois qu'un bogue de sécurité est corrigé dans une bibliothèque open source, les détails sur le bogue deviennent publics car la plupart des projets open source sont publics et sont fiers de la transparence. Cependant, en révélant ces détails, les pirates peuvent ensuite les utiliser pour créer des exploits et lancer des attaques contre des logiciels qui n'ont pas encore été corrigés.
De nombreux fabricants de logiciels, tels que Google et même Microsoft, utilisent un calendrier de publication fixe pour mettre à jour leurs produits. Pendant l'intervalle entre les correctifs, les pirates peuvent tirer parti de l'écart entre les correctifs pour se fournir une fenêtre d'attaque contre laquelle la plupart des projets logiciels auront du mal à se défendre.
Sommaire
Écart de patch Chrome
Le navigateur Web Chrome de Google est l'un des nombreux projets logiciels affectés par un écart de correctif car il repose sur un grand nombre de composants open source, notamment PDFium et le moteur JavaScript V8. L'année dernière, des chercheurs en sécurité d'Exodus Intelligence ont souligné à deux reprises que le grand écart de correctifs dans Chrome pouvait être exploité par des attaquants.
L'équipe de sécurité Chrome a pris note et dans Chrome récemment publié Résumé de sécurité trimestriel pour le quatrième trimestre 2019, les ingénieurs de Google ont révélé qu'ils avaient découvert un moyen de réduire l'écart de correctifs du navigateur, en déclarant:
"Nous continuons de travailler sur le" patch gap ", où les correctifs de bugs de sécurité sont publiés dans notre référentiel de code open-source, mais prennent un certain temps avant d'être publiés en tant que mise à jour stable de Chrome. Nous faisons maintenant des mises à jour régulières toutes les deux semaines, contenant les derniers correctifs de sécurité les plus récents. Cela a ramené le «fossé des correctifs» médian de 33 jours dans Chrome 76 à 15 jours dans Chrome 78, et nous continuons de travailler à son amélioration. »
Fondamentalement, Google a décidé de publier des mises à jour de sécurité plus fréquemment afin de réduire l'écart de correctifs de Chrome. Étant donné que le mécanisme de mise à jour silencieuse de Chrome est activé par défaut, les utilisateurs recevront les mises à jour de sécurité plus souvent sans avoir à appliquer eux-mêmes des correctifs au navigateur.
Via ZDNet
