Google is voornemens iedere week beveiligingslekken te gaan dichten in zijn Chrome browser, waar je tot dusverre iedere vier weken een milestone-update en elke twee weken beveiligingspatches tegemoet kon zien.
Tot Chrome versie 77 werd de browser nog om de 35 dagen voorzien van beveiligingspatches, waarna Google deze releases inkortte tot een cyclus van twee weken. Google rechtvaardigt de nieuwe verkorting onder andere met de "patch gap" tussen de bètaversies en de officiële releases in zijn stabiele kanalen. Door deze tijdsvertraging konden aanvallers herkennen welke beveiligingslekken door de ontwikkelaars waren gedicht en passende maatregelen nemen - hetzij door nog specifiek gebruik te maken van een bepaald beveiligingsprobleem voordat het was gedicht, ofwel door te voorkomen dat de gebruiker kon updaten.
Een van de redenen hiervoor is Chromium, dat als open-sourceproject ten grondslag ligt aan Chrome en veel andere browsers. Dit betekent dat de broncode door iedereen kan worden bekeken, wat zowel voor- als nadelen heeft. Aan de ene kant worden kwetsbaarheden in de beveiliging snel gevonden, gerapporteerd en verholpen, maar aan de andere kant kunnen aanvallers ook overeenkomstige gaten vinden en deze zelf uitbuiten. Dit gevaar wordt nu aanzienlijk teruggebracht.
De nieuwe distributievorm wordt inmiddels geïntroduceerd voor alle gebruikers met versie 116, maar er verandert verder niets aan de manier waarop Chrome wordt weggezet. Zo zullen milestone-versies nog steeds elke vier weken worden uitgebracht. De nieuwe procedure betekent echter ook dat je vanaf nu vaker zal worden gevraagd om de browser bij te werken - tenminste als automatische updates zijn uitgeschakeld.
Bron: Computerbase
