Chrome tiene un problema de seguridad: así es como Google lo está solucionando

Aranzulla de Los Pobres
Icono de Google Chrome en el puerto de mac.
Pixie Me / Shutterstock

Google busca adelantarse a las vulnerabilidades de alta gravedad en su navegador Chrome acortando el tiempo entre las actualizaciones de seguridad.

La marca espera que las actualizaciones más frecuentes les den a los malhechores menos tiempo para acceder y explotar las fallas de día n y día cero que se encuentran en el código del navegador Chrome.

A partir del miércoles, la marca ha lanzado Google Chrome 116, que incluye el nuevo horario. Chrome, que anteriormente era una actualización quincenal, ahora recibirá actualizaciones de seguridad semanales.

Con la naturaleza de código abierto de Chromium, cualquiera puede acceder al código fuente del navegador Chrome, "enviar cambios para su revisión y ver los cambios realizados por cualquier otra persona, incluso las correcciones de errores de seguridad", dijo Google en su blog de seguridad .

Por lo general, los miembros de la comunidad de los canales Canary y Beta de Google notifican a la marca sobre varios problemas de estabilidad, compatibilidad o rendimiento que se pueden abordar antes de que se envíen actualizaciones estables al público. Esta apertura es de doble filo; sin embargo, como malos actores tienen el mismo acceso que los usuarios de buena fe, lo que les permite obtener detalles en tiempo real sobre las vulnerabilidades antes de que las actualizaciones se implementen en una amplia gama de usuarios públicos. Si se aprovecha, dicho ataque se denomina explotación de n días.

Esta es la razón por la que Google espera que acortar el tiempo entre las actualizaciones de seguridad pueda ayudar a disuadir a los usuarios infames de obtener información sobre las vulnerabilidades en el código de Chromium. Por lo general, el tiempo entre las actualizaciones de seguridad se utiliza para realizar pruebas antes de un lanzamiento público. Google observó por primera vez que esto era un problema en 2020 cuando la brecha de parches entre actualizaciones era de aproximadamente 35 días. Luego cambió a un programa de actualización quincenal con el lanzamiento de Chrome 77.

La marca señaló que este último cronograma aún no impedirá todas las vulnerabilidades de n días, pero puede minimizarlas aún más. En la práctica, las actualizaciones de seguridad más frecuentes ofrecen menos tiempo para que los malhechores aprovechen las fallas que requieren rutas detalladas y más tiempo de desarrollo. Con el tiempo, también existe la posibilidad de que los malos actores encuentren formas de crear exploits más rápidos.

También existe la posibilidad de que la frecuencia de las actualizaciones de seguridad eventualmente se trunque aún más, y los parches se implementen tan pronto como estén disponibles.

Google declaró que ahora aborda "todos los errores críticos y de alta gravedad como si fueran a explotar".

Aun así, la marca ha llegado a considerar que los exploits de día n son tan peligrosos como los exploits de día cero , que son vulnerabilidades que antes se desconocían y, por lo tanto, no se abordaron con un parche o una actualización.

Google también anunció recientemente sus planes para habilitar la compatibilidad del navegador Chrome por separado para ChromeOS a partir del lanzamiento de ChromeOS 116. Esta actualización beneficiaría especialmente a las Chromebooks, extendiendo las netbooks mucho más que la vida útil típica del software. El lanzamiento de ChromeOS 116 está programado para el 22 de agosto.