Nel corso degli anni, Google Chrome si è affermato come il browser più popolare e affidabile a livello globale ed è praticamente uno strumento fondamentale per chiunque utilizzi uno smartphone o un computer con importanti implicazioni in termini di sicurezza. Così, per far fronte al crescente numero di attacchi informatici che avvengono tramite questi strumenti, il team di Chrome ha annunciato un nuovo cambiamento sulla frequenza di rilascio degli aggiornamenti, una misura che mira a migliorare significativamente la sicurezza dei suoi utenti.

Migliorare la sicurezza tempestivamente con aggiornamenti settimanali

In passato, Chrome riceveva un aggiornamento del canale Stable ogni due settimane, noto come “Stable Refresh”, per risolvere problemi di sicurezza e altri bug critici. Ora, questa frequenza cambierà: gli aggiornamenti saranno rilasciati settimanalmente, a partire dalla versione 116 di Chrome per desktop e mobile.

Tale necessità nasce dalla natura di Google Chrome. Dato che Chromium (su cui si basa) è un progetto open source, chiunque può visualizzare il codice sorgente, inviare modifiche per la revisione e vedere le modifiche apportate da chiunque altro, incluso i fix di sicurezza. Questo però ha un costo: i malintenzionati potrebbero sfruttare questa visibilità per anticipare le correzioni di sicurezza e sviluppare exploit contro gli utenti del browser che non hanno ancora ricevuto la patch. Questo sfruttamento di una problematica di sicurezza nota e risolta è denominato ‘n-day exploitation‘.

Come viene rilasciato un aggiornamento di sicurezza su Google Chrome

Quando viene risolto un bug di sicurezza in Chrome, la correzione viene inserita nel repository (ovvero l’archivio in cloud) del codice sorgente pubblico di Chromium. Una volta che il fix è rilasciato, diverse persone all’interno del team di Chrome lavorano per testare e verificare la patch. I fix di sicurezza che interessano il canale Stable vengono inseriti nell’aggiornamento più prossimo e il tempo che passa tra l’arrivo della patch e l’invio in un aggiornamento del canale Stable è definito patch gap”.

Attualmente, il patch gap” è di circa 15 giorni. Era di 35 giorni prima di passare agli aggiornamenti ogni due settimane nel 2020. Google prevede che gli aggiornamenti settimanali della patch permetteranno di inviare gli update di sicurezza in media 3,5 giorni prima, riducendo notevolmente la già piccola finestra per gli attacchi n-day e rendendo molto più difficile per i cyber criminali pianificare e utilizzare exploit contro le potenziali vittime.

L’adozione di un programma di aggiornamento settimanale risulterà anche in un minor numero di aggiornamenti imprevisti, che si verificano quando ci sono exploit noti. Infine, Google sta testando nuovi modi per incoraggiare gli utenti ad aggiornare il browser non appena un nuovo aggiornamento è disponibile.

La sicurezza passa però prima dagli utenti

Alla luce di queste novità, possiamo dire che Google Chrome sta assumendo un ruolo di leadership nell’intensificare gli sforzi per proteggere i propri utenti dagli attacchi informatici. Il passaggio a un ciclo di aggiornamento più frequente segnala un impegno significativo in termini di risposta pro-attiva alle minacce nascenti. Tuttavia, resta fondamentale che gli utenti facciano la loro parte, mantenendo il loro browser aggiornato e prestando attenzione alle migliori pratiche di sicurezza online. Perché la propria sicurezza passa prima di tutto dalle proprie azioni.