Chrome 的主要版本更新通常是每个月一次,在主要版本更新之间,谷歌会不定时发布安全更新用来解决已知安全漏洞。
但在之前谷歌的这种更新机制有个问题,那就是漏洞一般都是率先在 Chromium 上进行测试、改进、修复,而 Chromium 源代码是开放的,这意味着任何人都可以看到改动,包括安全更新。
当 Chromium 进行安全更新时,谷歌会先在 Chrome Canary 和 Dev 通道发布修复程序进行稳定性测试,没问题的话再发布到正式版。(PS:实际更新流程还有些区别,实际更新流程是研究人员在 Chrome 中发现漏洞,修复程序会先提交到 Chromium 然后再回到 Chrome。)
于是这就产生了一个问题:在修复程序抵达正式版前,攻击者是有机会利用这些漏洞的,这种也被称为 n 天利用。
从 2020 年的 Chrome 77 版开始,为了缩短 n 天利用,谷歌每 2 周发布一次安全更新,而在 Chrome 77 之前,补丁间隔平均为 35 天,改成 2 周更新后缩短到 15 天。
谷歌认为还有个改进空间,也就是 1 周发布 1 次更新,将补丁间隔时间缩短到 7 天,也就是 n 天利用变成了最长 7 天。
这种策略尽管还是无法彻底解决 n 天利用,不过可以让 Chrome 安全更新的平均水平提前 3.5 天,从而大幅度缩短 n 天利用时间、减少可能的危害。
不过谷歌也强调,并非所有的安全错误都用于 n 天利用,毕竟谷歌也不知道哪些漏洞在野外被利用,哪些没有。所以谷歌会将危害等级为中危和高危的都视作是被利用,从而尽可能大幅度缩短修复时间。
这段时间 Chrome 也改进了更新通知,一旦 Chrome 有新版本可用时,用户将在浏览器右上角看到重启更新、完成更新、需要更新、新版本发布之类的提示,这些提示为绿色。
如果用户很长时间没有更新,则右上角会用红色显示重新安装的提示。