Google a changé le calendrier des mises à jour de sécurité de Google Chrome de toutes les deux semaines à toutes les semaines pour résoudre le problème croissant des écarts de correctifs qui donne aux acteurs de la menace plus de temps pour exploiter les failles publiées n-day et zero-day.
Ce nouveau calendrier commencera avec Google Chrome 116, dont la sortie est prévue aujourd’hui.
Google explique que Chromium est un projet open source, permettant à quiconque de visualiser son code source et d’examiner en temps réel les discussions des développeurs, les commits et les correctifs apportés par les contributeurs.
Ces modifications, correctifs et mises à jour de sécurité sont ensuite ajoutés aux versions de développement de Chrome (Beta/Canary), où ils sont testés pour des problèmes de stabilité, de performances ou de compatibilité avant de pouvoir être transférés vers la version stable de Chrome.
Cependant, cette transparence a un coût, car elle permet également aux acteurs avancés de la menace d’identifier les failles avant que les correctifs n’atteignent une base massive d’utilisateurs de versions stables de Chrome et de les exploiter à l’état sauvage.
« Les mauvais acteurs pourraient éventuellement profiter de la visibilité de ces correctifs et développer des exploits à appliquer contre les utilisateurs de navigateurs qui n’ont pas encore reçu le correctif », lit-on dans l’annonce de Google.
« Cette exploitation d’un problème de sécurité connu et corrigé est appelée exploitation n-day. »
L’écart de correctifs est le temps qu’il faut à un correctif de sécurité pour être publié à des fins de test et pour qu’il soit finalement diffusé à la population principale dans les versions publiques de logiciels.
Google a identifié le problème il y a des années lorsque l’écart de correctifs était en moyenne de 35 jours, et en 2020. Avec la sortie de Chrome 77, il est passé à des mises à jour bihebdomadaires pour essayer de réduire ce nombre.
Avec le passage aux mises à jour stables hebdomadaires, Google minimise davantage l’écart de correctifs et réduit la fenêtre d’opportunité d’exploitation de n jours à une seule semaine.
Bien que ce soit certainement un pas dans la bonne direction et qu’il affectera positivement la sécurité de Chrome, il est essentiel de souligner que ce n’est pas idéal dans le sens où cela n’arrêtera pas toute l’exploitation n-day.
La réduction de l’intervalle entre les mises à jour arrêtera l’exploitation des failles qui demandent des chemins d’exploitation plus complexes, qui à leur tour nécessitent plus de temps pour se développer.
Cependant, il existe certaines vulnérabilités pour lesquelles des acteurs malveillants peuvent créer un exploit efficace en utilisant des techniques connues, et ces cas resteront un problème.
Même dans ces cas, cependant, l’exploitation active sera toujours réduite à un maximum de sept jours dans le pire des cas, étant donné que les utilisateurs appliquent les mises à jour de sécurité dès qu’elles sont disponibles.
« Tous les correctifs de bogues de sécurité ne sont pas utilisés pour une exploitation n-day. Mais nous ne savons pas quels bogues sont exploités dans la pratique et lesquels ne le sont pas, nous traitons donc tous les bogues critiques et de gravité élevée comme s’ils allaient être exploités », explique Amy Ressler, membre de l’équipe de sécurité Chrome.
« Beaucoup de travail est nécessaire pour s’assurer que ces bugs sont triés et corrigés dès que possible. »
« Plutôt que d’avoir des correctifs en attente d’être inclus dans la prochaine mise à jour bihebdomadaire, les mises à jour hebdomadaires nous permettront de vous fournir des correctifs de bogues de sécurité importants plus tôt et de mieux vous protéger, vous et vos données les plus sensibles. »
En fin de compte, la nouvelle fréquence de mise à jour réduira le besoin de mises à jour non planifiées, permettant aux utilisateurs et aux administrateurs système de respecter un calendrier de maintenance de la sécurité plus cohérent.
L’écart entre les correctifs de vulnérabilité est également devenu un problème majeur pour Android, Google avertissant récemment que les failles n-day sont devenues aussi dangereuses que les zero-days.
Malheureusement, l’écosystème Android rend le contrôle beaucoup plus difficile pour Google, car dans de nombreux cas, un correctif sera publié et il faudra des mois aux fabricants pour l’introduire dans les systèmes d’exploitation de leur téléphone.