Chrome: Google verkleinert Patch-Lücke

Google hat angekündigt, künftig wöchentliche Sicherheitsupdates für seinen Browser Chrome zu veröffentlichen. Das soll Hacker und andere Bedrohungsakteure daran hindern, Sicherheitslücken in Chrome für ihre Zwecke zu benutzen.

Chrome ist als mit Abstand beliebtester Browser weltweit auch ein beliebtes Ziel bei Hackern. Ein Problem ist, dass Chrome auf dem quelloffenen Chromium-Browser basiert. Jeder, also auch Bösewichte, können den Quellcode einsehen und somit Zero-Day-Lücken und andere Schwachstellen leichter entdecken und gegen Chrome-Nutzer einsetzen.

Ein kritischer Zeitraum ist dabei vor allem der Abstand zwischen der Entdeckung einer Zero-Day-Lücke und der Offenlegung durch einen Patch – je länger dieser Zeitraum ist, desto größer ist der zeitliche Vorteil von Hackern und auch die Patch-Lücke.

Die Verkürzung des Abstands zwischen zwei Sicherheitsupdates von zwei auf eine Woche solche helfen, die Patch-Lücke zu verkleinern. Stabile Versionen von Chrome sollen so seltener beziehungsweise kürzer durch die in Chromium offengelegten Schwachstellen angreifbar gemacht werden.

Ursprünglich stellte Google Sicherheitspatches für Chrome alle fünf Wochen bereit. Mit Chrome 77 wurde der Abstand auf zwei Wochen verkürzt. Die erneute Verkürzung des Abstand führt zwar nicht dazu, dass Chrome zu 100 Prozent sicher sein wird, aber insgesamt sollte sich die Sicherheit des Browsers selbst bei komplizierteren Problemen erhöhen. Bedrohungsakteuren bleibt auf alle Fälle weniger Zeit, um ihnen bekannte Lücken gegen Chrome-Nutzer einzusetzen.

Damit Google die Patch-Lücke tatsächlich verkleinern kann, ist es auf die Unterstützung von Nutzern angewiesen. Zum Abschluss einer Aktualisierung ist nämlich in der Regel ein Neustart des Browsers erforderlich. Nutzer, die eine Aufforderung zum Neustart von Chrome ignorieren, laufen somit Gefahr, verfügbare Patches nur verzögert zu erhalten.