Tập 32: của Amy ReSSLer ở Mountain View, Hoa Kỳ (tháng 2 năm 2023)
Các tập trước
Vậy là bạn vừa khắc phục được một lỗi bảo mật trong Chrome! Xin chúc mừng và cảm ơn bạn đã giúp Chrome trở nên an toàn hơn cho tất cả người dùng. Nhưng chờ đã, công việc của bạn vẫn chưa hoàn tất. Chỉ bạn mới có thể giải quyết vấn đề còn thiếu sót.
Khoảng cách mảng là gì?
Khoảng trống của bản vá là khoảng thời gian quan trọng kể từ khi bạn thực hiện xong bản sửa lỗi bảo mật cho đến khi bản sửa lỗi được gửi đến người dùng trong bản cập nhật Kênh chính thức của Chrome.
Khi bạn tìm được một bản sửa lỗi trong Chromium, bản sửa lỗi đó sẽ được cung cấp công khai cho bất kỳ ai giám sát kho lưu trữ mã nguồn của chúng tôi, bao gồm cả đối tượng xấu và bên môi giới lợi dụng.
Kẻ xấu nhanh chóng làm việc để lợi dụng khoảng thời gian này giữa danh sách thay đổi có mặt (CL) và người dùng có quyền truy cập vào bản vá đó trong một bản cập nhật kênh ổn định, kỹ thuật đảo ngược CL nhằm phát triển thủ đoạn khai thác nhằm lợi dụng hoặc bán cho nạn nhân tiềm năng. Tình trạng này được gọi là khai thác trong n ngày.
Mặc dù chúng tôi không thể loại bỏ hoàn toàn khả năng bị khai thác vào ngày n ngày, nhưng việc giảm thời gian từ khi khắc phục được sửa lỗi đến khi khắc phục sự cố vận chuyển trong bản cập nhật Kênh chính thức của Chrome sẽ khiến những đối tượng xấu đó gặp khó khăn hơn nhiều và giảm đáng kể khả năng khai thác ngày n ngày.
Bạn có thể làm gì để ngăn chặn tình trạng bóc lột n ngày?
Hãy chú ý đến việc vá lỗi thiếu hụt và làm những việc sau.
Cập nhật lỗi bảo mật lên Trạng thái=Đã khắc phục nhanh chóng
Ngay khi bạn nhận được CL đã có bản sửa lỗi bảo mật, hãy cập nhật lên Status=Fixed
.
Việc này cho phép tính năng tự động hoá Sheriffbot cập nhật lỗi bằng các nhãn yêu cầu hợp nhất phù hợp dựa trên mức độ nghiêm trọng và tác động về bảo mật.
Cung cấp đầy đủ thông tin chi tiết về các vấn đề về độ ổn định hoặc khả năng tương thích
Hãy cung cấp những thông tin chi tiết này để trả lời cho bảng câu hỏi hợp nhất Sheriffbot. Chỉ cân nhắc tránh hợp nhất lại nếu có rủi ro với Chrome.
Lỗi bảo mật đã tồn tại trong một thời gian dài không phải là lý do hợp lệ để tránh hợp nhất lại. Thứ nguyên này ngày càng rẻ hơn và dễ bị khai thác hơn nhiều.
Hợp nhất đất ngay sau khi được phê duyệt
Phương án bảo vệ tốt nhất của chúng tôi là vận chuyển nhanh chóng.
Không tìm cách ẩn, làm rối mã nguồn hoặc gửi thông báo
Những kẻ tấn công ngày thường rất thông minh và sẽ tìm cách để khắc phục.
Liên hệ với nhóm bảo mật
Nếu bạn có câu hỏi hoặc thắc mắc, hãy liên hệ với nhóm bảo mật để được trợ giúp.
Cảm ơn bạn đã quan tâm đến bản vá này vì chỉ bạn mới có thể giúp ngăn chặn tình trạng bóc lột n ngày.