Частные исследователи, независимые лаборатории безопасности и производители конкурирующих браузеров часто сообщают вендорам об обнаруженных уязвимостях, чтобы помочь им устранить и защитить миллионы пользователей. Подобная практика довольно распространена в индустрии. Например, когда эксперты по безопасности сообщают об ошибках Google и Apple, компании выпускают обновление с исправлением. Однако эффективность защиты зависит от того, насколько быстро компания реагирует, чтобы подготовить патч.
Google Chrome построен на базе проекта с открытым исходным кодом Chromium. Когда исследователь безопасности сообщает об уязвимости Chromium компании Google, эти проблемы анализируются участниками и экспертами, которые рассматривают изменения в исходном коде. Затем исправления выкладываются в каналы Chrome Canary, Dev и Beta, проверяются на стабильность, совместимость и производительность, после чего становятся доступны пользователям на стабильном канале.
Обычно Google выпускает крупные обновления (т.е. обновление версии, например, с 115 до 116) для стабильного канала Chrome раз в четыре недели. В течение месяца между текущей и следующей стабильной версией браузера Chrome получает обновления безопасности (и экстренные обновления), устраняющее уязвимости, которые были найдены в браузере. Такие обновления безопасности стали выходить раз в две недели с момента выхода Chrome 77 в 2020 году.
Google считает, что открытость проекта Chromium позволяет сторонним разработчикам находить ошибки и предлагать их исправления, но в то же время создает серьезную проблему. Злоумышленники, следящие за ситуацией, могут узнать о новых уязвимостях и разработать эксплойты для незащищенных версий браузера. Это не угрозы «нулевого дня», поскольку Google уже знает об этих недостатках, а так называемые n-day эксплойты. Поскольку выпуск патчей безопасности занимает несколько недель, многие пользователи могут быть подвержены воздействию этих n-day эксплойтов. Компания Google стремится минимизировать последствия таких угроз.
Компания Google официально объявила о том, что обновления системы безопасности для Chrome будут выходить еженедельно, а не раз в две недели. Это позволит сократить время использования уязвимостей хакерами и быстрее защитить пользователей от угроз. Еженедельные исправления безопасности для Chrome будут включать в себя исправления всех критических ошибок и ошибок высокой степени серьезности, обнаруженных в предыдущей сборке браузера. Короткий цикл обновлений поможет Google предотвратить незапланированные обновления (экстренные обновления). Переход на еженедельные исправления безопасности произойдет сразу после выхода Chrome 116 15 августа 2023 года.
