Pour mieux combler les lacunes des correctifs de sécurité, Google annoncé aujourd'hui que Chrome adopte désormais les mises à jour hebdomadaires du canal stable.

Le navigateur de Google reçoit des mises à jour majeures toutes les quatre semaines (au lieu de six) semaines, par exemple en passant de la version 100 à la version 101. Dans le passé, Chrome recevait une mise à jour « Stable Refresh » pour « résoudre les problèmes de sécurité et autres bugs à fort impact » entre les deux. jalons toutes les deux semaines.

Cela change désormais pour se produire chaque semaine entre les étapes, à commencer par Google Chrome 116 sur ordinateur et mobile, afin que les mises à jour de sécurité parviennent aux utilisateurs finaux beaucoup plus rapidement.

Étant donné que Chromium est un projet open source, « n'importe qui peut consulter le code source, soumettre des modifications pour examen et voir les modifications apportées par n'importe qui d'autre, même les corrections de bogues de sécurité. »

Cette ouverture présente des avantages pour tester les correctifs et découvrir les bugs, mais a un coût : des acteurs malveillants pourraient éventuellement profiter de la visibilité sur ces correctifs et développer des exploits à appliquer contre les utilisateurs de navigateurs qui n'ont pas encore reçu le correctif. Cette exploitation d’un problème de sécurité connu et corrigé est appelée exploitation n-day.

Google décrit le processus comme tel :

Lorsqu'un bogue de sécurité Chrome est corrigé, le correctif est transféré dans le référentiel public de code source Chromium. Le correctif est alors accessible au public et détectable. Une fois le correctif déployé, les utilisateurs de Chrome s'efforcent de tester et de vérifier le correctif, ainsi que d'évaluer les correctifs de bogues de sécurité pour le rétroportage vers les branches de version concernées. Les correctifs de sécurité affectant le canal stable attendent ensuite la prochaine mise à jour du canal stable une fois qu'ils ont été rétroportés. Le temps entre l'arrivée du correctif et sa livraison dans une mise à jour du canal stable correspond à l'écart entre les correctifs.

L’intervalle actuel entre les correctifs est d’environ 15 jours. Il fallait auparavant 35 jours avant de passer aux mises à jour de correctifs toutes les deux semaines en 2020. Google s'attend à ce que les mises à jour hebdomadaires des correctifs entraînent une livraison des correctifs de sécurité « 3,5 jours plus tôt en moyenne, réduisant considérablement la fenêtre déjà courte permettant aux attaquants de développer et d'utiliser un jour n jours ». exploiter contre des victimes potentielles et rendre leur vie beaucoup plus difficile.

Ce nouveau calendrier entraînera également moins de mises à jour imprévues qui se produisent lorsqu'il y a des exploits connus dans la nature : « En envoyant désormais des mises à jour stables chaque semaine, nous nous attendons à ce que le nombre de mises à jour imprévues diminue puisque nous expédierons les mises à jour plus fréquemment. »

Pendant ce temps, Google teste de nouvelles façons d’encourager les utilisateurs à mettre à jour :

Si une mise à jour est disponible, veuillez la mettre à jour immédiatement à chaque fois !