Gli aggiornamenti delle patch di sicurezza su Google Chrome diventano settimanali

Antonio Ionta
Antonio Ionta
Gli aggiornamenti delle patch di sicurezza su Google Chrome diventano settimanali

Dopo aver contestato lo scarso tempismo con cui i produttori rilasciano le patch di sicurezza sui propri dispositivi, Google ha annunciato qualche giorno fa di star aumentando la frequenza degli aggiornamenti su Chrome. L'azienda infatti è solita rilasciare una major release (detta anche milestone) del proprio browser ogni quattro settimane, intervallando fino ad ora gli aggiornamenti per risolvere le vulnerabilità ogni due settimane. A partire però da Chrome 116 invece, gli aggiornamenti di sicurezza per la versione stabile del browser saranno rilasciati ogni settimana su desktop e mobile.

La decisione di aumentare gli update è una prima mossa da parte di Big G per contrastare quello che hanno definito come "patch gap"; cioè il lasso di tempo che intercorre dal momento in cui "il fornitore a monte aveva rilasciato una patch per il problemama il produttore a valle non aveva preso la patch e rilasciato la correzione agli utenti".

Secondo Google un grande vantaggio scaturito dal cuore open source di Chromium, browser su cui è basato Chrome, riguarda il fatto che "chiunque può visualizzare il codice sorgente, inviare modifiche per la revisione e guardare le modifiche effettuate da chiunque altro, anche correzioni di bug di sicurezza". Di contro però se è vero che la suddetta apertura ha dei vantaggi nel testare correzioni e scoprire bug, ''i malintenzionati potrebbero sfruttare la visibilità di queste correzioni e sviluppare exploit da applicare contro gli utenti del browser che non hanno ancora ricevuto la correzione''. Tale pratica prende il nome di "n-day exploitation".

Google in particolare spiega:

Quando viene corretto un bug di sicurezza di Chrome, la correzione viene trasferita nel repository pubblico del codice sorgente di Chromium. La correzione è quindi pubblicamente accessibile e rilevabile. Dopo che la patch è stata rilasciata, le persone in Chrome lavorano per testare e verificare la patch e valutare le correzioni dei bug di sicurezza per il backport alle release branch interessate.

Le correzioni di sicurezza che influiscono sul canale stabile attendono quindi il successivo aggiornamento del canale dopo il backport. Il tempo che intercorre tra l'arrivo della patch e l'invio in un aggiornamento del canale stabile è il gap della patch.

Attualmente il patch gap si è ridotto a quindici giorni e Google si aspetta che grazie agli aggiornamenti settimanali si riescano ad inviare le correzioni di sicurezza "in media 3,5 giorni prima, riducendo notevolmente la finestra già piccola per gli aggressori dell'n-day per sviluppare e utilizzare un exploit contro potenziali vittime e rendere le loro vite molto più difficili". L'aumento della frequenza degli aggiornamenti programmati secondo Google diminuirà di conseguenza il numero di update non pianificati.

Google conclude la comunicazione esortando gli utenti a controllare le notifiche sui propri dispositivi per essere informati sui nuovi aggiornamenti del browser, ricordando inoltre di non temere per l'interruzione del proprio lavoro o la perdita delle schede aperte visto che ''quando riavvii Chrome per l'aggiornamento, le schede e le finestre aperte vengono salvate e Chrome le riapre dopo il riavvio''.

Se è disponibile un aggiornamento, aggiornalo immediatamente ogni volta!

Tutte le recensioni su YouTube
Le nostre recensioni esclusive e le nostre classifiche
Seguici