Schon bald soll Google Chrome Sicherheitsupdates in kürzeren Abständen erhalten, nachdem die Sicherheitsabteilung bei Google den patch gap des Browsers erfolgreich von 33 Tagen auf nur 15 gekürzt haben.
Der Begriff patch gap bezeichnet die Zeit, die es braucht zwischen der Schließung einer Lücke in einer Open-Source-Bibliothek und der Schließung der Lücke in einer Software, die dieselbe Bibliothek verwendet. Patch gaps gelten als großes Sicherheitsrisiko, da viele Programme auf dieselben Open-Source-Komponenten basieren.
Sobald eine Sicherheitslücke in einer Open-Source-Bibliothek geschlossen wurde, werden Details zu dieser Lücke veröffentlicht, da die meisten Open-Source-Projekte öffentlich und stolz auf ihre Transparenz sind. Durch die Veröffentlichung dieser Details können Hacker allerdings gezielt Exploits schreiben und Software angreifen, die noch nicht aktualisiert wurde.
- Google beginnt, den Support für Chrome Apps einzustellen (englisch)
- Die beliebtesten Erweiterungen für Google Chrome (englisch)
- Der beste Browser 2020 (englisch)
Viele Softwarehersteller wie Google und sogar Microsoft haben einen fixen Veröffentlichungskalender für Updates für ihre Produkte. In der Zeit zwischen zwei Patches können Hacker den patch gap ausnutzen, um sich eine Angriffsmöglichkeit zu verschaffen, gegen die die meisten Projekte so gut wie machtlos sind.
Chrome "patch gap"
Googles Chrome Webbrowser ist eins von vielen Softwareprojekten, die vom patch gap betroffen sind, da er von einer Vielzahl von Open-Source-Komponenten abhängig ist, einschließlich PDFium und der V8 JavaScript-Engine. Vergangenes Jahr haben Sicherheitsforscher von Exodus Intelligence zwei Fälle bekannt gemacht, in denen ein großer patch gap in Chrome von Hackern ausgenutzt werden konnte.
Das Chrome Sicherheitsteam hat sich Notizen gemacht und in seinem vierteljährlichen Sicherheitsbericht für Q4 2019 erklärt, es habe eine Möglichkeit gefunden, den patch gap des Browsers zu verkürzen:
“Wir arbeiten weiterhin am "patch gap", bei dem Sicherheitslücken in unserer Open-Source-Repository geschlossen werden, dann aber eine Weile brauchen, bis sie ihren Weg in ein stabiles Chrome-Update finden. Wir veröffentlichen nun regelmäßige Releases alle zwei Wochen mit den schwerwiegendsten Sicherheitsupdates. Das hat die mittlere "patch gap" von 33 Tagen in Chrome 76 auf 15 Tage in Chrome 78 reduziert und wir arbeiten daran, es weiter zu verbessern."
Im Prinzip hat Google in dem Bestreben, den patch gap von Chrome zu minimieren, beschlossen, Sicherheitsupdates häufiger zu veröffentlichen. Da der stille Modus für Chrome-Updates standardmäßig aktiviert ist, erhalten Benutzer Sicherheitsupdates häufiger, ohne sie selbst manuell ausführen zu müssen.
- Wir haben auch die beste Anti-Virus-Software vorgestellt (englisch)
Via ZDNet
