谷歌已将 Google Chrome 安全更新计划从每两周一次更改为每周一次，以解决日益严重的补丁间隙问题，该问题使威胁行为者有更多时间利用已发布的 n 天和零日漏洞。

这一新计划将从 Google Chrome 116 开始，计划于今天发布。

谷歌解释说，Chromium 是一个开源项目，任何人都可以查看其源代码并实时审查开发人员的讨论、提交和贡献者所做的修复。

然后，这些更改、修复和安全更新将添加到 Chrome 的开发版本（Beta/Canary）中，并在将其推送到稳定的 Chrome 版本之前对其进行稳定性、性能或兼容性问题测试。

然而，这种透明度是有代价的，因为它还允许高级威胁参与者在修复程序到达稳定 Chrome 版本的庞大用户群之前识别缺陷并在野外利用它们。

谷歌的声明中写道：“不良行为者可能会利用这些修复程序的可见性并开发漏洞来针对尚未收到修复程序的浏览器用户。  ”

“这种对已知且已修补的安全问题的利用称为 n 天利用。”

补丁间隙是指发布安全修复程序进行测试以及最终在软件公开版本中向主要人群推出所需的时间。

谷歌几年前就发现了这个问题，当时补丁间隙平均为 35 天，而在 2020 年，随着 Chrome 77 的发布，谷歌改为每两周更新一次，试图减少这一数字。

通过切换到每周稳定更新，Google 进一步最小化了补丁间隙，并将 n 天的利用机会窗口减少到一周。

虽然这绝对是朝着正确方向迈出的一步，并且会对 Chrome 的安全性产生积极影响，但必须强调的是，它并不理想，因为它不会阻止所有 n 天的利用。

减少更新之间的间隔将阻止需要更复杂的利用路径的缺陷的利用，这反过来又需要更多的时间来开发。

然而，恶意行为者可以使用已知技术对某些漏洞进行有效的利用，这些情况仍然是一个问题。

不过，即使在这些情况下，考虑到用户在安全更新可用后立即应用安全更新，在最坏的情况下，主动利用仍将减少到最长 7 天。

“并非所有安全错误修复都用于 n 天利用。但我们不知道哪些错误在实践中被利用，哪些没有，因此我们将所有严重和高严重性错误视为将被利用，” Chrome 安全团队成员 Amy Ressler 解释道。

“需要做大量的工作来确保这些错误尽快得到分类和修复。”

“每周更新将使我们能够更快地为您提供重要的安全错误修复，并更好地保护您和您最敏感的数据，而不是等待下一次双周更新中包含修复程序。”

最终，新的更新频率将减少计划外更新的需求，使用户和系统管理员能够遵守更一致的安全维护计划。

漏洞补丁缺口也成为 Android 的一个大问题，谷歌最近警告说，n 天漏洞已经变得和零日漏洞一样危险。

不幸的是，Android 生态系统让谷歌更难控制，因为在很多情况下，会发布补丁，制造商需要几个月的时间才能将其引入手机操作系统。