الحلقة 32: من تأليف "إيمي ريسلر" في ماونتن فيو، الولايات المتحدة الأمريكية (شباط/فبراير 2023)
الحلقات السابقة
لقد أصلحت للتو خطأ أمان في Chrome. تهانينا وشكرًا لك على جعل Chrome أكثر أمانًا لجميع المستخدمين. لكن انتظر، لم ينته عملك بعد. أنت وحدك من يمكنها أن تراعي الثغرة الأمنية.
ما هي الثغرة الأمنية؟
الفجوة الدقيقة هي الفترة الحرجة بين وقت الحصول على إصلاح الأمان ووقت إرسال الإصلاح إلى المستخدمين في تحديث القناة الثابتة من Chrome.
عند الوصول إلى إصلاح في Chromium، يصبح هذا الإصلاح متاحًا للجميع لأي شخص يراقب مستودعات رموز المصدر، بما في ذلك الجهات المسيئة والوسطاء الذين يستغلون ذلك.
وتعمل الجهات المسيئة بسرعة على الاستفادة من ذلك الوقت بين قائمة التغييرات التي تم تحقيقها (CL) وإذن وصول المستخدمين إلى هذه التصحيح في تحديث ثابت للقناة، والهندسة العكسية لـ CL بهدف تطوير استغلال للاستفادة من الضحايا المحتملين أو بيعه للاستخدام ضد الضحايا المحتملين. وهذا ما يسمى الاستغلال اليومي.
على الرغم من أنّه لا يمكننا التخلص تمامًا من احتمال الاستغلال على مدار عدد معيّن من الأيام، فإنّ تقليل الوقت بين تلقي الإصلاح وحلّ مشكلة الشحن في تحديث القناة الثابتة من Chrome يجعل الحياة أكثر صعوبة على الجهات المسيئة ويقلل إلى حد كبير من احتمال الاستغلال على مدار عدد كبير من الأيام.
كيف يمكنك المساعدة في منع الاستغلال اليومي؟
انتبه لثغرة التصحيح وقم بما يلي.
تحديث الأخطاء الأمنية إلى الحالة=تم إصلاحها بسرعة
بعد الوصول إلى CL مع إصلاح الأمان، عليك تحديثه إلى Status=Fixed.
ويتيح هذا لنظام التشغيل الآلي Sheriffbot تعديل الخطأ باستخدام تصنيفات طلبات الدمج المناسبة بناءً على مستوى خطورة الأمان وتأثيره.
تقديم تفاصيل كاملة حول مشاكل الثبات أو التوافق
قدّم هذه التفاصيل كرد على استبيان دمج Sheriffbot. وننصحك بتجنّب إعادة الدمج إذا كان هناك خطر على Chrome.
وجود خلل أمني موجود منذ فترة طويلة لا يُعدّ سببًا وجيهًا لتجنُّب تنفيذ عملية دمج خلفي. فقد أصبحت أقل تكلفة وأسهل بكثير في استغلالها على مدار اليوم.
عمليات دمج الأراضي فور الموافقة عليها
أفضل وسيلة دفاع لدينا هي الشحن السريع.
لا تحاول إخفاء الرمز أو تشويشه أو تنفيذ الرسائل
المهاجمون في اليوم التالي أذكياء وسيتعاملون مع هذا الأمر.
التواصل مع فريق الأمن
إذا كان لديك أي أسئلة أو استفسارات، يُرجى التواصل مع فريق الأمان للحصول على مساعدة.
نشكرك على الاهتمام بالتصحيح، لأنه لا يمكن لأحد سواك المساعدة في منع الاستغلال على مدار اليوم.