第 32 集:作者:Amy Ressler,美国山景城(2023 年 2 月)
上一集
这样,您刚修复了 Chrome 中的一个安全错误!恭喜!感谢您为所有用户提升 Chrome 的安全性。但是别急,你的工作还没有完成。只有您自己可以帮忙解决修补间隙问题。
补丁之间有什么间隔?
补丁间隔是指从您提交安全修复程序到通过 Chrome 稳定版更新向用户发布修复程序之间的关键时间。
当您在 Chromium 中修复漏洞后,该修复方案会公开显示给监控我们源代码库的所有用户,包括不法分子和利用代理商。
不法分子会迅速采取措施,利用已发布的更改列表 (CL) 到用户能够通过稳定渠道更新获取该补丁之间的这段时间,对 CL 进行逆向工程,以开发出利用或出售手段来攻击潜在受害者。这就是所谓的“N 天攻击”。
虽然我们无法完全消除 n 天漏洞攻击的可能性,但如果缩短从修复问题得到修复到通过 Chrome 稳定版更新修复发布之间的间隔时间,会加大不法分子的工作负担,并大大降低 n 天漏洞攻击的可能性。
如何防止 N-day 漏洞攻击?
注意补丁间隙并执行以下操作。
将安全错误更新为 Status=Fixed
在获得包含安全修复程序的 CL 后,请立即将其更新到 Status=Fixed。
这样,Sheriffbot 自动化功能即可根据安全性严重程度和影响,使用适当的合并请求标签更新 bug。
提供有关稳定性或兼容性问题的完整详细信息
提供这些详细信息,以回答 Sheriffbot 合并调查问卷的要求。请仅在 Chrome 面临风险时考虑避免返回合并。
已经存在很长时间的安全 bug 不是避免重新合并的正当理由。它现在价格更低,而且更容易被利用。
获批后立即合并土地
我们最好的防御就是快速发货。
请勿尝试隐藏或混淆代码或提交消息
N 天攻击者非常聪明,可以解决这一问题。
与安全团队联系
如果您有任何问题或疑虑,请与安全团队联系以获取帮助。
感谢您关注此补丁,因为只有您可以帮助防范 n-day 攻击。