Episodio 32: de Amy Ressler en Mountain View, EE.UU. (febrero de 2023)
Episodios anteriores
¡Acabas de corregir un error de seguridad en Chrome! Felicitaciones y gracias por hacer que Chrome sea más seguro para todos los usuarios. Pero espera, aún no has terminado tu trabajo. Solo tú puedes ayudar a resolver esta situación.
¿Cuál es la brecha del parche?
La brecha de parche es el tiempo crítico entre el momento en que obtienes la corrección de seguridad y el momento en que se envía a los usuarios en una actualización del canal estable de Chrome.
Cuando encuentras un error en Chromium, esa corrección está disponible públicamente para cualquier persona que supervise nuestros repositorios de código fuente, incluidos los agentes maliciosos y los agentes de explotación de vulnerabilidades.
Las entidades que actúan de mala fe trabajan rápidamente para aprovechar ese tiempo entre la lista de cambios obtenida (CL) y los usuarios que tienen acceso a ese parche en una actualización de canal estable. Esto se denomina exploitación de n días.
Si bien no podemos eliminar completamente el potencial de la explotación de n días, reducir el tiempo que transcurre entre el lanzamiento de la solución y esa corrección en una actualización del canal estable de Chrome dificulta mucho la vida de las personas que actúan de mala fe y reduce en gran medida el potencial de explotación de n días.
¿Cómo puedes ayudar a prevenir la explotación de n-day?
Ten en cuenta los vacíos del parche y haz lo siguiente.
Actualizar errores de seguridad a Estado=Se corrigió rápidamente
En cuanto obtengas la CL con la corrección de seguridad, actualízala a Status=Fixed.
Esto permite que la automatización de Sheriffbot actualice el error con las etiquetas de solicitud de combinación adecuadas en función de la gravedad y el impacto de la seguridad.
Proporciona todos los detalles sobre los problemas de estabilidad o compatibilidad
Proporciona estos detalles como respuesta al cuestionario de combinación de Sheriffbot. Solo debes evitar las fusiones inversas si existe algún riesgo para Chrome.
Un error de seguridad que ha estado presente por mucho tiempo no es un motivo válido para evitar las reversiones. Se volvió más barato y más fácil de aprovecharse al día siguiente.
Fusiones de tierras tan pronto como se aprueban
Nuestra mejor defensa es enviar rápidamente.
No intentes ocultar ni ofuscar código ni mensajes de confirmación
Los atacantes de N-day son inteligentes y solucionarán esto.
Comunícate con el equipo de seguridad
Si tienes alguna pregunta o inquietud, comunícate con el equipo de seguridad para obtener ayuda.
Gracias por cuidar el parche, porque solo tú puedes ayudar a prevenir la explotación de n-day.