Chrome 漏洞多:web 浏览器还安全吗?
编译:代码卫士
2023年,高频率的漏洞披露和补丁还在继续。Chrome 109 在1月份修复了23个漏洞。Chrome 110 在2月份修复了15个漏洞;版本111在3月份修复了48个漏洞;版本112在4月份修复了16个漏洞。4月份还修复了2023年以来的第二个0day。版本113在5月份修复了15个漏洞,后来又修复了12个。6月份最开始Chrome 114修复了2023年以来的第三个0day,后续又发布了5个补丁。
漏洞修复清单很长,几乎变成了单调的重复,但毫无疑问,这一清单将继续如此。然而,它所引发的问题让人思考:为什么会有这么多漏洞?Chrome 浏览器还安全吗?谷歌是否会加强安全措施?用户是否可提高自身安全性?以色列公司 Perception Point 的首席技术官 Tal Zamir 就这些话题发表了自己的看法。
漏洞数量多的主要原因从根本上说是统计问题。它是代码库规模、目标的吸引程度和用户量的组合结果。Zamir 提到,“多年来,Chrome 已成为庞大的代码库,规模基本相当于 Windows 这样的操作系统,因为它包含很多特性。”
他补充道,“它看似简单,人们以为只是一个浏览器应用。但实际上,它是一头巨兽。它是人们一天多数时候都会使用的应用程序,在企业和客户领域均如此。这是我们多数网络活动所用的应用程序。”
代码库越大,漏洞数量就越多。这是计算的现实。一款应用程序使用的次数越多,那么攻击者试图攻击的尝试就越多。攻击者包括犯罪分子、国家黑客组织等,而且无可避免会遭攻击。值得注意的是,Statcounter 在2023年5月发布报告指出,Chrome 在全球浏览器市场的占比达到62.87%。Safari 以20.7%排名第二,而Edge 仅以5.32%位列第三。
我们无法期待谷歌提供更多安全措施,保护代码安全。这也是一个不可避免的商业社会特性。为此,谷歌不得不减少推出新特性的数量和速度,而这与确保以及可能提升市场份额是相悖的。微软一直处于追赶浏览器的状态,不过通过将AI集成到产品中,它现在火力全开(即利润最大)。
Zamir 认为,“微软对谷歌发起真正的战争,不仅在企业领域如此,对于动心谷歌服务包的客户而言也是如此。我预计谷歌更难应战并在浏览器领域保持领头羊位置。在这次对战中,它将增加新特性且尝试以更快的速度创新。这样做的时候,通常会把安全放在次要位置。速度是需求——需要将闪亮的新东西放在用户面前,而安全可能滞后。这并不意味着谷歌将忽略安全,它肯定在 Chrome 安全性方面进行投资,但我认为相对于新特性而言,安全是第二位的。”
谷歌不应受到批评的地方是其对 Chrome 安全的响应式方法。其策略是寻找(通过自身的研究团队和漏洞奖励计划),之后在漏洞遭滥用之前修复和打补丁。
这是一种响应式方法,而非主动式方法。虽然谷歌自身受商业现实所迫不得不对安全采取响应式方法,而多数企业均如此,但用户可采取更加主动的方式。这不可避免地涉及增加专门的产品来保护应用程序及其使用的安全性。
这就引发另一个问题:如果小型安全企业能够保护 Chrome,那么为何谷歌(全球最大的开发者之一)不在 Chrome 内部开发类似防护措施呢?“谷歌当然能够做到,”Zamir认为,“如果它愿意投入数年的工程。”
从技术上来讲,这样做是可能的,但从经济角度来看是不可行的。回到“闪亮的新东西”形象中。对于 Chrome 而言,闪亮的新东西就是吸引用户的额外特性,因此会被推到优先位置。但对于第三方安全厂商而言,安全才是闪亮的新东西。
这就是现代网络安全的现实。我们无法假设任何一款应用程序是安全的或者该应用程序的厂商会确保你是安全的。所有用户必须为所使用产品的安全负责。谷歌 Chrome 是本次讨论所选取的不幸案例,但这些原则适用于几乎所有的商业应用程序。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。