Дальше же начинается соревнование в скорости. И хакеры нередко создают эксплойты для выявленных уязвимостей раньше, чем обновления безопасности оказываются внедрены во все приложения, использующие уязвимый компонент с открытым исходным кодом. Эта проблема стоит особенно остро для ПО с фиксированными сроками обновления: например, раз в месяц. В подобной ситуации у киберпреступников в распоряжении могут оказаться 3-4 недели: этого более чем достаточно для разработки эксплойта и осуществления атак.
В прошлом году компания Exodus дважды обращала внимание Google на серьезность этой проблемы. В апреле и сентябре специалисты Exodus создавали инструменты для эксплуатации выявленных и исправленных уязвимостей в движке V8 JavaScript, который используется в браузере Chrome, задолго до того, как разработчики Google успевали внедрить необходимые обновления безопасности. К счастью, в Google сделали необходимые выводы. И если в версии Chrome 76 продолжительность patch gap составляла 33 дня, то в версии Chrome 78 она сократилась более чем вдвое – до 15 дней. Более того, корпорация намерена и далее работать над сокращением этого срока. Вероятнее всего, это означает, что Google стремится к еженедельному выпуску обновлений для Chrome.
Источник: текст и фото ТЦИ
Александр Файфман
