غيّرت شركة جوجل جدول تحديثات الأمان لمتصفح كروم التابع لها من نصف شهريًا إلى أسبوعيًا لمعالجة مشكلة فجوة التصحيح المتزايدة التي تتيح للجهات الفاعلة في التهديد وقتًا إضافيًا لاستغلال الثغرات الفورية والثغرات المعروفة والمُصححة.
وقالت عملاقة التقنية الأمريكية إن تطبيق الجدول الجديد سوف يبدأ مع الإصدار 116 من متصفح كروم المقرر إطلاقه اليوم.
وأوضحت جوجل أن (كروميوم) Chromium مشروع مفتوح المصدر، مما يسمح لأي شخص بمشاهدة الكود المصدري الخاص به والتدقيق في مناقشات المطورين، والالتزامات، والإصلاحات التي يقوم بها المساهمون في الوقت الفعلي.
وبعد ذلك تُضاف هذه التغييرات، والإصلاحات، وتحديثات الأمان إلى الإصدارات التجريبية من كروم، حيث تُختبر لمعرفة مشكلات الاستقرار، أو الأداء، أو التوافق قبل أن تُطلق عبر إصدار كروم المستقر النهائي.
ومع ذلك، فإن لهذه الشفافية ثمن، ذلك أنها تتيح أيضًا لممثلي التهديدات المتقدمين تحديد الثغرات قبل أن تصل الإصلاحات إلى قاعدة المستخدمين الضخمة لإصدارات كروم المستقرة، واستغلالها.
موضوعات ذات صلة بما تقرأ الآن:
وجاء في إعلان جوجل: «قد تستفيد جهات التهديد الفاعلة السيئة من رؤية هذه الإصلاحات وتطور ثغرات لتطبيقها على مستخدمي المتصفح الذين لم يتلقوا الإصلاح بعد». وأضاف: «يشار إلى هذا الاستغلال لمشكلة أمنية معروفة ومصححة باسم الاستغلال اليوم غير المحدد n-day».
ويُشار إلى أن فجوة التصحيح هي الوقت الذي يستغرقه إصدار الإصلاح الأمني للاختبار، ثم إطلاقه للجمهور الرئيسي في الإصدارات العامة للبرامج.
وكان جوجل قد حددت المشكلة منذ سنوات عندما بلغ متوسط فجوة التصحيح 35 يومًا. وفي عام 2020، مع الإصدار ذي الرقم 77 من متصفح كروم، تحولت إلى تحديثات نصف شهرية لمحاولة تقليل هذه الفجوة.
ومع التبديل إلى التحديثات المستقرة الأسبوعية، تعمل جوجل على تقليل فجوة التصحيح وتقليل فرصة استغلال الثغرات المعروفة والمصححة إلى أسبوع واحد.
وفي حين أن هذه بالتأكيد خطوة في الاتجاه الصحيح وستؤثر بشكل إيجابي في أمان كروم، فمن الضروري التأكيد أنها ليست مثالية بمعنى أنها لن توقف استغلال الثغرات المعروفة والمصححة.
وسيؤدي تقليل الفاصل الزمني بين التحديثات إلى إيقاف استغلال العيوب التي تتطلب مسارات استغلال أكثر تعقيدًا، التي بدورها تتطلب مزيدًا من الوقت للتطوير.
ومع ذلك، هناك بعض الثغرات الأمنية التي يمكن للجهات الخبيثة أن تبني لها برمجيات استغلال فعالة باستخدام تقنيات معروفة، وستظل هذه الحالات تمثل مشكلة.
وحتى في هذه الحالات، سوف يستمر تقليل الاستغلال النشط إلى سبعة أيام كحد أقصى في أسوأ سيناريو، نظرًا إلى أن المستخدمين يطبقون تحديثات الأمان بمجرد توفرها.
وفي النهاية، سوف تؤدي الوتيرة الجديدة للتحديثات إلى تقليل الحاجة إلى التحديثات غير المخطط لها، مما يتيح للمستخدمين ومسؤولي النظام الالتزام بجدول صيانة أمان أكثر اتساقًا.
هذا، وقد أصبحت فجوة تصحيح الثغرات أيضًا مشكلة كبيرة لنظام أندرويد، إذ حذّرت جوجل حديثًا من أن الثغرات المعروفة والمصححة أصبحت تمثل الخطورة ذاتها للثغرات الفورية.
وبسبب الطبيعة المفتوحة المصدر لنظام أندرويد، تجعل مهمة التحكم فيه صعبة على جوجل، ففي كثير من الأحيان، تُطلق الشركة تصحيحًا، ولكن الأمر يستغرق من الشركات المصنعة للأجهزة العاملة بنظام أندرويد شهورًا لإطلاقه للمستخدمين.