Google 加速 Chrome 安全更新频率，抵御网络攻击

关键要点

Google 将于本月开始每周发布 Chrome 安全更新，以减少攻击窗口。这一变化旨在缩短补丁间隔，使重要安全漏洞修复更快到达用户。Google 采取的新措施与其他科技公司如 Apple 的类似步骤相呼应。

Google 正在加快 Chrome 浏览器的安全更新频率，以减少针对全球使用最广泛浏览器的用户的攻击。这标志着 Google 将于本月开始每周发布更新，而不是自 2020 年以来的每四周一次。公司表示，这一改变将缩短浏览器的“补丁间隔”即威胁行为者在零日漏洞和已知漏洞未得到修复之前的攻击机会窗口。

Google 在 8 月 8 日的 安全博客 中阐述了其 Chrome 安全集制度的这一变化。“与其让修复措施静静等待下次双周更新，不如每周更新能更快将重要的安全漏洞修复发送给用户，”Chrome 安全高级技术项目经理 Amy Ressler 在博客中说道。

Chrome 浏览器使用开源的 Chromium 代码基础，类似于 Opera、微软的 Edge 及其他几个浏览器，这意味着代码更改，包括漏洞修复，都是开放可见的。

“这种开放性对测试修复和发现漏洞是有好处的，但也存在风险：不法分子可能会利用这些修复的可见性，开发针对尚未收到修复的浏览器用户的攻击手段，”Ressler 说。

一旦 Chrome 安全漏洞被修复，它会被“合并”到公共 Chromium 源代码库中，随后经过测试和验证，并在下次更新中发布。补丁间隔就是从合并到发布的这段时间。

Google 表示，在 2020 年发布 Chrome 版本 77 之前，它开始每四周发布一次补丁，平均补丁间隔为 35 天。自那时起，该间隔已缩短至约 15 天。“尽管我们无法完全消除已知漏洞 (nday) 被利用的可能性，每周的 Chrome 安全更新频率平均可使我们提前 35 天发布安全修复，大大减少了 nday 攻击者开发和利用漏洞的时间窗口，使其难度增加，”Ressler 补充道。

科技公司加大力度修复安全漏洞

过去，Google 也曾在威胁行为者被认为在捕捉零日漏洞时，偏离常规更新周期发布紧急补丁，例如今年四月 的事件。Ressler 提到，每周安全更新的推出预期将减少紧急补丁的需求。这一更新频率的改变将在本月随 Chrome 版本 116 的发布开始生效。

海鸥加速器免费永久版

与此相似，Apple 也在今年早些时候推出了 快速安全响应 更新，以加快对零日漏洞的响应速度。这些新更新是在常规更新之间发布重要安全修复的一种方式。

Google 在其 Android 手机操作系统上也面临类似的问题，但已承认 Android 生态系统的结构由于操作系统被多家设备制造商使用，使得减少补丁间隔变得困难。“上游供应商与下游制造商之间的这些间隔让已知漏洞 (nday) 如同零日漏洞般存在，因为用户并没有现成的补丁可用，他们唯一的防御措施就是停止使用设备，”Google 安全研究员 Maddie Stone 在上个月的一篇 博客文章 中写道。

“虽然这种间隔在大多数上游/下游关系中都存在，但在 Android 系统中更为普遍且持续时间更长。”