Chrome tiene una brecha de seguridad, pero Google la está solucionando | ENBLE

'Chrome has a security vulnerability, but Google is fixing it | ENBLE

PixieMe / Shutterstock

Google busca adelantarse a las vulnerabilidades de alta gravedad en su navegador Chrome acortando el tiempo entre las actualizaciones de seguridad.

La marca espera que las actualizaciones más frecuentes den a los actores malintencionados menos tiempo para acceder y explotar fallas n-day y zero-day encontradas en el código del navegador Chrome.

A partir del miércoles, la marca ha lanzado Google Chrome 116, que incluye el nuevo calendario. Anteriormente, una actualización quincenal, ahora Chrome recibirá actualizaciones de seguridad semanales.

Con la naturaleza de código abierto de Chromium, cualquier persona puede acceder al código fuente del navegador Chrome, “enviar cambios para su revisión y ver los cambios realizados por cualquier otra persona, incluso correcciones de errores de seguridad”, dijo Google en su blog de seguridad.

Típicamente, los miembros de la comunidad de los canales Canary y Beta de Google notifican a la marca de diversos problemas de estabilidad, compatibilidad o rendimiento que se pueden abordar antes de que se envíen actualizaciones estables al público. Esta apertura es de doble filo, ya que los actores malintencionados tienen el mismo acceso que los usuarios de buena fe, lo que les permite conocer detalles en tiempo real sobre las vulnerabilidades antes de que se implementen las actualizaciones para un amplio rango de usuarios públicos. Si se aprovecha, dicho ataque se llama explotación n-day.

Es por eso que Google espera que acortar el tiempo entre las actualizaciones de seguridad ayude a disuadir a los usuarios nefastos de obtener información sobre vulnerabilidades en el código de Chromium. Por lo general, el tiempo entre las actualizaciones de seguridad se utiliza para realizar pruebas antes de un lanzamiento público. Google observó por primera vez este problema en 2020, cuando la brecha entre las actualizaciones fue de aproximadamente 35 días. Luego cambió a un programa de actualización quincenal con el lanzamiento de Chrome 77.

La marca señaló que este último calendario aún no evitará todos los exploits n-day, pero puede minimizarlos aún más. En la práctica, las actualizaciones de seguridad más frecuentes ofrecen menos tiempo para que los actores malintencionados exploten fallas que requieren rutas detalladas y más tiempo de desarrollo. Con el tiempo, también existe la posibilidad de que los actores malintencionados encuentren formas de crear exploits más rápidos.

También existe la posibilidad de que la frecuencia de las actualizaciones de seguridad pueda reducirse aún más, con los parches implementados tan pronto como estén disponibles.

Google declaró que ahora aborda “todos los errores de gravedad crítica y alta como si fueran a ser explotados”.

Aun así, la marca ha llegado a ver los exploits n-day como igual de peligrosos que los exploits zero-day, que son vulnerabilidades que antes eran desconocidas y, por lo tanto, no se habían abordado con un parche o actualización.

Google también anunció recientemente sus planes de habilitar un soporte separado del navegador Chrome para ChromeOS a partir del lanzamiento de ChromeOS 116. Esta actualización beneficiaría especialmente a las Chromebooks, extendiendo la vida útil del software de las netbooks mucho más de lo habitual. El lanzamiento de ChromeOS 116 está programado para el 22 de agosto.