Chrome安全更新周期從每兩周縮短成每周

Google Chrome安全團隊於本周宣布，從周三（8/9）釋出的Chrome 116開始，Chrome穩定版的安全更新周期便將從每兩周縮短成每周，以減少Chrome與Chromium專案之間的修補落差，提高駭客利用這些已知安全漏洞的難度。

Chromium開源專案支援包括Chrome在內的許多瀏覽器，每個人都能夠檢視它的原始碼、提交變更或看到安全漏洞與臭蟲的修補，而Canary或Beta頻道的使用者則可提前收到更新，並提供相容性及效能上的建議，然而，這也讓駭客有機可趁，利用這些尚未部署於穩定版的漏洞修補來展開n-day攻擊。

於是，原本Chrome的安全更新是隨著每四周穩定版的出爐而進行，但從2020年的Chrome 77開始，Chrome安全團隊啟用了每兩周的安全更新節奏，亦即在每個穩定版之間，會有另一次的安全更新。在Chrome 77以前，Chromium與Chrome的平均修補落差是35天，啟用每兩周的更新頻率之後，落差減少至15天。

在進入了每周的安全更新節奏之後，Chrome安全團隊預期可再減少3.5天的修補落差，縮小安全漏洞的修補空窗，以提高駭客利用此一空窗期研究並開發漏洞攻擊程式的難度。

以往Chrome安全團隊經常會針對已被利用的安全漏洞緊急更新Chrome瀏覽器，在啟用每周安全更新之後，可望減少這些意外的更新活動。

Chrome安全團隊說明，並非所有的安全漏洞都會被用來進行n-day攻擊，但他們並不知道哪些漏洞會實際遭駭客利用，因此將所有的重大與高風險漏洞都視為將遭到濫用而儘速修補。

不過，也由於安全更新頻率變高了，未來一有安全更新，Chrome瀏覽器即會跳出更新通知，同時Google也建議使用者應該立即重啟Chrome以進行更新，重啟後的Chrome會保留先前已開啟的分頁。