Google telah mengubah jadwal pembaruan keamanan Google Chrome dari yang sebelumnya dilakukan dua minggu sekali menjadi setiap minggu. Perubahan ini bertujuan untuk mengatasi masalah celah patch yang berkembang, dimana pelaku ancaman memiliki lebih banyak waktu untuk mengeksploitasi kelemahan yang telah dipublikasikan baik yang berkategori "n-day" maupun "zero-day."
Jadwal baru ini akan berlaku mulai dari versi Google Chrome 116, yang dijadwalkan akan dirilis pada hari ini.
Google menjelaskan bahwa Chromium merupakan sebuah proyek open-source, yang artinya siapapun memiliki kemampuan untuk mengakses kode sumbernya dan memeriksa diskusi-diskusi antara para pengembang, komitmen perubahan kode, serta perbaikan yang dilakukan oleh kontributor secara langsung dan real time.
Setelah dilakukan perubahan, perbaikan dan pembaruan keamanan, semua ini akan dimasukkan ke dalam versi pengembangan Chrome (Beta/Canary). Di sana, mereka akan menjalani uji coba guna mendeteksi potensi masalah dalam hal stabilitas, kinerja atau kompatibilitas sebelum akhirnya diimplementasikan ke dalam rilis Chrome yang stabil.
Namun, walaupun transparansi ini sangat bernilai, namun ada biaya yang terkait. Hal ini membuka peluang bagi pelaku ancaman tingkat lanjut untuk mengidentifikasi kerentanan sebelum perbaikan tersebut diterapkan pada rilis Chrome yang telah menjangkau jumlah pengguna besar dan stabil, dan dengan demikian mereka dapat mengeksploitasi kerentanan tersebut dengan bebas.
Dalam pengumuman Google disebutkan, "Pelaku kejahatan mungkin dapat memanfaatkan visibilitas ke dalam perbaikan ini dan mengembangkan eksploit untuk diterapkan terhadap pengguna browser yang belum menerima perbaikan."
"Eksploitasi masalah keamanan yang diketahui dan ditambal ini disebut sebagai eksploitasi n-day."
Celah patch merujuk pada jangka waktu yang diperlukan perbaikan keamanan untuk dirilis guna diuji dan pada akhirnya diterapkan pada pengguna umum dalam rilis publik software.
Beberapa tahun yang lalu, Google mengidentifikasi sebuah masalah dimana waktu rata-rata yang diperlukan untuk merilis suatu perbaikan keamanan adalah 35 hari. Pada tahun 2020, dengan diluncurkannya Chrome 77, Google mengadopsi pembaruan keamanan dua mingguan dengan harapan untuk mengurangi periode ini.
Dengan beralih ke pembaruan mingguan yang stabil, Google semakin mengurangi potensi celah patch dan mempersempit peluang bagi eksploitasi "n-day" menjadi hanya satu minggu.
Walaupun langkah ini jelas mengarah ke arah yang positif dan akan memberikan dampak positif terhadap keamanan Chrome, perlu ditekankan bahwa ini tidaklah sempurna, karena tidak akan sepenuhnya menghentikan semua bentuk eksploitasi "n-day".
Mengurangi jangka waktu antara pembaruan akan mengurangi peluang bagi eksploitasi kerentanan yang memerlukan jalur eksploitasi yang lebih rumit, yang pada akhirnya akan membutuhkan lebih banyak waktu untuk dikembangkan.
Namun, ada kerentanan tertentu yang memungkinkan pelaku jahat untuk menciptakan eksploitasi yang efektif menggunakan teknik-teknik yang sudah dikenal, dan situasi semacam ini tetap menjadi perhatian.
Bahkan dalam kasus tersebut, potensi eksploitasi tetap akan dikurangi hingga tujuh hari paling lama dalam skenario terburuk, asalkan pengguna menerapkan pembaruan keamanan segera setelah tersedia.
"Tidak semua perbaikan bug keamanan digunakan untuk eksploitasi n-day. Tapi kami tidak tahu bug mana yang dieksploitasi, dan mana yang tidak, jadi kami memperlakukan semua bug kritis dan tingkat keparahan tinggi seolah-olah mereka akan dieksploitasi," jelas anggota Tim Keamanan Chrome, Amy Ressler.
Pada akhirnya, peningkatan frekuensi pembaruan akan mengurangi kebutuhan untuk pembaruan yang tidak terencana, sehingga memberi pengguna dan administrator sistem kesempatan untuk mengikuti jadwal pemeliharaan keamanan yang lebih konsisten.
Celah patch juga menjadi masalah besar bagi Android, dengan Google baru-baru ini memperingatkan bahwa kelemahan n-day telah menjadi sama berbahayanya dengan zero-day.
Namun, dalam ekosistem Android, kendala kontrol dari Google menjadi kendala, karena seringkali patch keamanan dirilis, namun produsen memerlukan berbulan-bulan untuk mengintegrasikannya ke dalam sistem operasi pada ponsel mereka.
0 Comments
