Google 如何修复chrome漏洞？

      如今，浏览器安全是一个大问题。由于我们中的许多人都依赖我们的互联网连接设备来工作、娱乐、交流以及介于两者之间的一切，不良行为者非常有兴趣访问我们散布在网络上的私人数据。尤其是浏览器，它是一个优秀的攻击供应商，因为它们可以很容易地侵入用户的帐户和公司的受保护环境。

　　您可能已经注意到，近年来，Google 报告了越来越多的所谓“in-the-wild”漏洞，黑客积极利用这些漏洞攻击 Chrome 和任何其他基于 Google 的 Chromium 渲染引擎的浏览器，例如 Edge、Vivaldi ，和勇敢。

　　今天，谷歌分享了为什么会发生这种情况以及它正在采取什么措施来应对这些威胁。

　　什么是野蛮利用？

　　“in-the-wild”漏洞利用是浏览器中的一个漏洞，黑客正在积极使用它来尝试访问某人的计算机，从而允许他们窥探目标并在他们不知情的情况下更改设置和选项。野蛮攻击特别危险，因为它们正被不良行为者积极使用，谷歌和其他安全公司一直在争先恐后地填补漏洞并强化他们的程序，以防止这些攻击继续或发生在首位.

　　为什么目前 Chrome 中存在如此多的野外漏洞利用？

　　谷歌近年来报告了大量的 Chrome 漏洞利用，并且有很多原因可以解释为什么会发生这种情况。

　　一方面，供应商在安全漏洞方面变得越来越透明。浏览器制造商过去不会披露问题，只是默默地修复它，而这些公司现在变得更加沟通和合作，试图跨竞争平台解决问题，并共同努力使互联网成为一个更安全的地方. 这也是为什么 Google 只知道更多漏洞利用的原因，在过去，它可能只是一开始就没有获得其中一些漏洞的信息。

　　另一方面，谷歌浏览器和它的 Chromium 引擎越来越多地赢得市场份额，因此，它们是黑客更有价值的目标。毕竟，黑客有机会以这种方式攻击更多具有单一漏洞的人。鉴于 Chromium 引擎现在为大多数浏览器提供动力，这就是这里正在发生的事情 - 与过去无处不在的 Adobe Flash 过去作为攻击服务的方式非常相似。

　　仅仅因为谷歌的安全努力得到了回报，还有更多的漏洞利用。Chrome 安全团队的 Adrian Taylor 表示，“以前可以通过单个错误完成的一些攻击现在需要多个错误”，这自然会导致更多的漏洞利用。谷歌通过为您的所有选项卡引入独立的进程来实现这一点，并配有自己的独立渲染进程，迫使攻击者在他们成为流氓之前突破这些环境。

　　Taylor 还表示，由于浏览器变得越来越复杂，并且与操作系统越来越相似，因此引入了更多可以被利用的错误。

　　Google 采取了哪些措施来打击和防止 Chrome 漏洞利用？

　　谷歌及其开发人员决心以前所未有的速度修复安全漏洞。虽然过去公司在 Chrome 76 中修复问题最多需要 35 天，但对于最近的版本，这个数字现在平均下降到大约 18 天。随着 Chrome 更快的发布周期（从 6 周到 4 周），这个指标只会有所改善。

　　谷歌也采取了许多技术措施来防止漏洞利用。如上所述，该公司正在努力改善站点隔离，以防止流氓行为者突破其专用的浏览器选项卡或沙箱。这项措施主要在桌面操作系统上完成，但尤其是在 Android 上仍然是一项持续的努力。

　　谷歌还在开发一个沙箱，以防止 JavaScript 即时编译错误成为攻击媒介，这是另一种经常用来劫持浏览器的网络技术。还有所谓的“内存安全”错误是由于在运行 Chrome 时编译错误而引入的，谷歌正在通过在浏览器运行时引入额外的检查来改善这种情况。该公司还在考虑改用像 Rust 这样的安全编程语言。这种 Mozilla 创建的语言从一开始就是内存安全的。

　　所有这些措施的问题在于它们都伴随着性能下降。您向 Chrome 等庞大的包罗万象的应用程序引入的这些检查越多，CPU 和内存使用量就越大。长期以来，这一直是 Chrome 的一个问题，因为它因消耗资源和电池而臭名昭著。因此，谷歌必须仔细检查其每一步，权衡性能提升与安全改进。

　　谷歌的安全警长阿德里安泰勒表示，谷歌“在提高安全标准方面已经远远超过了‘轻松获胜’的阶段，”它表明了这一点。该公司正在努力平衡性能和安全性，同时构建新功能并为新的 Web 应用程序功能提供支持。尽管如此，由于它决心在漏洞被披露后立即修复并尽快发布更新，该公司正在尽其所能。

　　让我们只希望国际情报机构不要隐藏太多这些漏洞，永远不要让公众看到。

上一篇: Chrome操作系统丢失或损坏,如何修复此错误？ 下一篇: 如何修复 Chrome 中的“Kill Page”或“Wait”错误？