Bu sayfa, Cloud Translation API ile çevrilmiştir.

Chromium Chronicle #32: Yama boşluklarına dikkat edin

Bölüm 32: - Amy Ressler, Mountain View, ABD'den (Şubat 2023)
Önceki bölümler

Chrome'daki bir güvenlik hatasını düzelttiniz! Chrome'u tüm kullanıcılar için daha güvenli hale getirdiğiniz için tebrikler ve teşekkür ederiz. Ama bir saniye, işiniz henüz tamamlanmadı. Yama boşluğuna yalnızca siz yardımcı olabilirsiniz.

Bağlantı boşluğu nedir?

Yama boşluğu, güvenlik düzeltmesini yayınlamanız ile düzeltmenin Chrome'un Kararlı kanalı güncellemesinde kullanıcılara gönderilmesi arasındaki kritik süredir.

Chromium'da bir düzeltme sunduğunuzda bu düzeltme, kötü niyetli kişiler ve kötüye kullanım amaçlı aracılar dahil olmak üzere kaynak kodu depolarımızı izleyen herkes tarafından kullanılabilir.

Bir düzeltmenin indirilmesi ve gönderilmesi arasındaki aşamalar. Bu aşama, yama boşluğu olarak adlandırılır.

Kötü niyetli kişiler, nihai değişiklik listesi (CL) ile kararlı bir kanal güncellemesinde o yamaya erişimi olan kullanıcılar arasındaki bu zamandan yararlanmak için hızla çalışırlar. Potansiyel kurbanlara karşı yararlanmak veya satmak üzere bir kötüye kullanım geliştirmek için CL'ye tersine mühendislik yaparlar. Buna n-day istismar denir.

N gün boyunca kötüye kullanım potansiyelini tamamen ortadan kaldıramayız, ancak Chrome'un Kararlı kanalı güncellemesinde yapılan düzeltme ile bu düzeltme arasındaki sürenin kısaltılması, bu kötü niyetli kişilerin hayatını çok daha zorlaştırır ve n gün boyunca istismar etme potansiyelini büyük ölçüde azaltır.

N gün kötüye kullanımın önlenmesine nasıl yardımcı olabilirsiniz?

Yama boşluğuna dikkat edin ve aşağıdakileri yapın.

Güvenlik hatalarını Durum=Düzeltildi olarak hızla güncelleyin

Güvenlik düzeltmesini içeren CL'yi Status=Fixed olarak güncelleyin.

Bu sayede Sheriffbot otomasyonu, güvenlik önem derecesine ve etkisine göre uygun birleştirme isteği etiketleriyle hatayı güncelleyebilir.

Kararlılık veya uyumluluk sorunları hakkında tüm ayrıntıları sağlayın

Bu bilgileri Sheriffbot birleştirme anketine yanıt olarak sağlayın. Yalnızca Chrome için risk varsa tekrar birleştirmekten kaçınmayı düşünün.

Uzun süredir var olan bir güvenlik hatası, tekrar birleştirmeyi önlemek için geçerli bir neden değildir. Sadece daha ucuz hale gelir ve n gün olarak kötüye kullanılması çok daha kolay hale gelir.

Onaylanır onaylanmaz arazi birleşmeleri

En iyi savunmamız, hızlı kargo yapmaktır.

Kodu gizlemeye ya da kod karartmaya veya mesaj kaydetmeye çalışmayın

N-day saldırganlar akıllıdır ve bu sorunu çözeceklerdir.

Güvenlik ekibine ulaşın

Herhangi bir sorunuz veya endişeniz varsa yardım almak için güvenlik ekibiyle iletişime geçin.

N gün boyunca kötüye kullanımın önlenmesine yalnızca siz yardımcı olabileceğinizden, yamaya önem verdiğiniz için teşekkür ederiz.