O Chrome tem um problema de segurança – veja como o Google o está corrigindo

gurinho
Ícone do Google Chrome no mac dock.
PixieMe / Shutterstock

O Google está tentando se antecipar às vulnerabilidades de alta gravidade em seu navegador Chrome, reduzindo o tempo entre as atualizações de segurança.

A marca espera que atualizações mais frequentes dêem aos mal-intencionados menos tempo para acessar e explorar as falhas de n-day e zero-day encontradas no código do navegador Chrome.

A partir de quarta-feira, a marca lançou o Google Chrome 116, que inclui a nova programação. Anteriormente uma atualização quinzenal, o Chrome agora receberá atualizações de segurança semanais.

Com a natureza de código aberto do Chromium, qualquer pessoa pode acessar o código-fonte do navegador Chrome, “enviar alterações para revisão e ver as alterações feitas por qualquer outra pessoa, até mesmo correções de bugs de segurança”, disse o Google em seu blog de segurança .

Normalmente, os membros da comunidade dos canais Canary e Beta do Google notificam a marca sobre vários problemas de estabilidade, compatibilidade ou desempenho que podem ser resolvidos antes que as atualizações estáveis ​​sejam enviadas ao público. Essa abertura é de dois gumes; no entanto, como os agentes mal-intencionados têm o mesmo acesso que os usuários de boa fé, permitindo-lhes detalhes em tempo real sobre as vulnerabilidades antes que as atualizações sejam implantadas para uma ampla gama de usuários públicos. Se aproveitado, tal ataque é chamado de exploração de n dias.

É por isso que o Google espera que a redução do tempo entre as atualizações de segurança possa ajudar a impedir que usuários nefastos obtenham informações sobre vulnerabilidades no código do Chromium. Normalmente, o tempo entre as atualizações de segurança é usado para testes antes de um lançamento público. O Google observou pela primeira vez que isso era um problema em 2020, quando o intervalo entre as atualizações era de aproximadamente 35 dias. Em seguida, mudou para uma programação de atualização quinzenal com o lançamento do Chrome 77.

A marca observou que esse cronograma mais recente ainda não impedirá todas as explorações de n dias, mas pode minimizá-las ainda mais. Na prática, atualizações de segurança mais frequentes oferecem menos tempo para os malfeitores explorarem falhas que exigem caminhos detalhados e mais tempo de desenvolvimento. Com o tempo, também existe a probabilidade de que os malfeitores encontrem maneiras de criar exploits mais rápidos.

Também existe a possibilidade de que a frequência das atualizações de segurança possa eventualmente truncar ainda mais, com patches sendo implantados assim que estiverem disponíveis.

O Google afirmou que agora lida com “todos os bugs críticos e de alta gravidade como se fossem explorados”.

Mesmo assim, a marca passou a ver os exploits n-day tão perigosos quanto os exploits zero-day , que são vulnerabilidades anteriormente desconhecidas e, portanto, não corrigidas com um patch ou atualização.

O Google também anunciou recentemente seus planos para habilitar o suporte separado do navegador Chrome para o ChromeOS a partir do lançamento do ChromeOS 116. Essa atualização beneficiaria especialmente os Chromebooks, estendendo os netbooks por muito mais tempo do que a vida útil típica do software. O lançamento do ChromeOS 116 está agendado para 22 de agosto.