為了進一步縮短漏洞更新的「空窗期」(亦即從漏洞被發現到更新修補程式正式發布之間的時間間隔),進而大幅縮短駭客利用零時差(0-Day)漏洞發動攻擊的可行時間,Google 從本週開始將過去每兩週發布一次的安全更新修補程式頻率縮短成每週一次。
更新修補從每兩週一次變更成每週一次的頻率,是伴隨 Google Chrome 116 的發布同時實施的。但和過去一樣的是,高優先順序的漏洞會立即發布更新修補,不會等到例性性的更新日才會進行修補。
Goolge 將例行性更新週期提升一倍的原因,大致是因為 Chromium 是一個開放原始碼專案,其不但會公開自身的原始程式碼,還會公開所有相關的討論和規畫中的更新。較老練的駭客非常可能利用這些資訊來找到他們可以大加利用的安全漏洞。
Google 上一回縮短定期安全更新週期是在 2020 年,當時特別將更新修補的空窗從約莫 35 天縮短至 15 天,如今則進一步地縮短到 7 天。但 Google 警告說,更頻繁的更新修補並不能完全解決更新修補的空窗期問題,以及零時差漏洞甚至修補程式已公布 N 日(N-Day)的漏洞攻擊威脅,它頂多降低了這類風險的可能性。
(首圖來源:Google)
科技新報粉絲團
加入好友
訂閱免費電子報
