Wie Google die große Sicherheitslücke in Chrome schließt

PixieMe / Shutterstock

Google möchte schwerwiegenden Sicherheitslücken in seinem Chrome-Browser zuvorkommen, indem es die Zeit zwischen Sicherheitsupdates verkürzt.

Die Marke hofft, dass böswillige Akteure durch häufigere Updates weniger Zeit haben, auf N-Day- und Zero-Day-Schwachstellen im Code des Chrome-Browsers zuzugreifen und diese auszunutzen.

Seit Mittwoch hat die Marke Google Chrome 116 eingeführt, das den neuen Zeitplan enthält. Bisher gab es für Chrome ein zweiwöchentliches Update, jetzt erhält es wöchentliche Sicherheitsupdates.

Aufgrund des Open-Source-Charakters von Chromium kann jeder auf den Quellcode des Chrome-Browsers zugreifen, „Änderungen zur Überprüfung einreichen und die von anderen vorgenommenen Änderungen sehen, sogar Sicherheitsfehlerkorrekturen“, sagte Google in seinem Sicherheitsblog.

Normalerweise benachrichtigen Community-Mitglieder aus den Canary- und Beta-Kanälen von Google die Marke über verschiedene Stabilitäts-, Kompatibilitäts- oder Leistungsprobleme, die behoben werden können, bevor stabile Updates an die Öffentlichkeit gesendet werden. Diese Offenheit ist zweischneidig; Da böswillige Akteure jedoch denselben Zugriff haben wie gutgläubige Benutzer, können sie in Echtzeit Details zu Schwachstellen erhalten, bevor Updates für ein breites Spektrum öffentlicher Benutzer bereitgestellt werden. Wenn ein solcher Angriff ausgenutzt wird, spricht man von einem N-Day-Exploiting.

Aus diesem Grund hofft Google, dass die Verkürzung der Zeit zwischen Sicherheitsupdates dazu beitragen kann, böswillige Benutzer davon abzuhalten, Informationen über Schwachstellen im Chromium-Code zu erhalten. Normalerweise wird die Zeit zwischen Sicherheitsupdates zum Testen vor einer öffentlichen Veröffentlichung genutzt. Google stellte dieses Problem erstmals im Jahr 2020 fest, als die Patch-Lücke zwischen den Updates etwa 35 Tage betrug. Mit der Veröffentlichung von Chrome 77 wurde dann auf einen zweiwöchentlichen Update-Zeitplan umgestellt.

Die Marke stellte fest, dass dieser neueste Zeitplan immer noch nicht alle N-Day-Exploits abschreckt, sie aber weiter minimieren kann. In der Praxis bieten häufigere Sicherheitsupdates den Angreifern weniger Zeit, Schwachstellen auszunutzen, die detaillierte Pfade und mehr Entwicklungszeit erfordern. Mit der Zeit besteht auch die Wahrscheinlichkeit, dass böswillige Akteure Wege finden, schnellere Exploits zu erstellen.

Es besteht auch die Möglichkeit, dass die Häufigkeit von Sicherheitsupdates irgendwann noch weiter zurückgeht und Patches bereitgestellt werden, sobald sie verfügbar sind.

Google gab an, dass es nun „alle kritischen und schwerwiegenden Fehler so angeht, als würden sie ausgenutzt“.

Dennoch sind N-Day-Exploits für die Marke mittlerweile genauso gefährlich wie Zero-Day-Exploits, bei denen es sich um Schwachstellen handelt, die bisher unbekannt waren und daher nicht mit einem Patch oder Update behoben wurden.

Google hat außerdem kürzlich seine Pläne angekündigt, ab der Version ChromeOS 116 eine separate Chrome-Browserunterstützung für ChromeOS zu ermöglichen. Dieses Update würde insbesondere Chromebooks zugute kommen und die Netbooks weit über ihre typische Software-Lebensdauer hinaus verlängern. Die Veröffentlichung von ChromeOS 116 ist für den 22. August geplant.