in che modo i difetti di google chrome vengono in genere rattoppati e divulgati

Di solito il venditore viene informato dalla persona che ha trovato la vulnerabilità. Il venditore ha bisogno di tempo per risolvere il problema prima che la vulnerabilità venga resa pubblica. Questa è chiamata divulgazione responsabile . In questo modo, esiste già una correzione disponibile quando la vulnerabilità viene resa pubblica.

Per i bug in Google Chrome è disponibile il tracker dei problemi di Chromium . I bug di sicurezza sono inviati e risolti su questo sistema proprio come i normali bug. La differenza è che sono contrassegnati con speciali etichette di sicurezza delineati qui . Ad esempio, l'etichetta Restrict-View-SecurityTeam manterrà un segreto bug tra il reporter e il team di sicurezza di Chromium.

is it disclosed immediately to the general public, or is it kept a secret until it is patched?

I bug inviati tramite il tracker dei problemi verranno solitamente rivelati automaticamente qualche tempo dopo la correzione del bug. Attendere che una patch sia disponibile è chiamata disclosure responsabile e una condizione preliminare per partecipare a Programma di ricompensa delle vulnerabilità di Chrome .

If the former, are all the details of the vulnerability usually disclosed?

Poiché la descrizione del bug e i commenti e le azioni degli sviluppatori sono visibili attraverso il ticket del bug, di solito sarà possibile ottenere tutte le informazioni sul problema una volta che è stato reso pubblico. Poiché Chrome è un progetto open source, anche le modifiche al codice sorgente sono pubblicamente disponibili e spesso è persino possibile decodificare problemi di sicurezza fissi a seguito di modifiche al codice.

Spetta al ricercatore che ha trovato il bug se vuole rivelare il bug in modo responsabile attraverso il tracker con la prospettiva di ricevere un premio o venderlo altrove (es. ZDI ). Potrebbero anche decidere di renderlo pubblico immediatamente ("full disclosure").