Schnellere Updates: Google will die Sicherheitspatch-Lücke bei Chrome minimieren

Ab Mitte August will Google mit Chrome 116 die Stable-Version des Browsers im Wochentakt veröffentlichen. Davon verspricht sich das Unternehmen eine zügigere Implementation von Sicherheitsupdates, um den Zeitraum für Attacken zu verkleinern.

Die Sicherheitspatch-Lücke

In einem Blog-Beitrag geben die Entwickler an, alle vier Wochen ein Milestone-Release zu veröffentlichen. Dazwischen gibt es einem festen Zeitraum folgend Veröffentlichen mit unter anderem Bugfixes und Sicherheitspatches.

Doch aufgrund der verschiedenen Entwicklungsstadien einer Chrome-Version kann es derzeit rund zwei Wochen dauern, bis ein Sicherheitsupdate in eine Stable-Version Einzug hält. Diesen Umstand nennt Google Patch Gap (Sicherheitspatch-Lücke). Besagten Zeitraum wollen die Entwickler nun weiter minimieren.

Chrome fußt auf dem Open-Source-Code von Chromium, der öffentlich einsehbar ist. Darunter fallen auch die zu implementierenden Sicherheitspatches. Diese Infos können Angreifer nutzen, um Exploits für noch nicht gepatchte Chrome-Versionen zu entwickeln und Attacken zu starten. Das ist eine Krux des Open-Source-Ansatzes.

2020 hat Google mit Chrome 77 auf eine zweiwöchentliche Stable-Veröffentlichung umgestellt, um die Patch Gap zu verkleinern. Davor waren es rund 35 Tage, bis ein Sicherheitspatch Einzug gehalten hat. Mit der wöchentlichen Veröffentlichung will Google die Sicherheitsupdates durchschnittliche 3,5 Tage früher integrieren und so die Patch Gap weiter minimieren.

Eine Ausnahme gibt es: Wenn Angreifer eine Lücke aktiv ausnutzen, veröffentlicht Google Stable-Updates außer der Reihe. Um zu prüfen, ob es ein Chrome-Update gibt, klickt man etwa unter Windows auf die drei vertikal angeordneten Punkte im Chrome-Fenster oben rechts. Nach einem Klick auf Hilfe/Über Google Chrome, öffnet sich ein Fenster und wenn eine neue Version verfügbar ist, startet der Download automatisch.

(des)