SOS :: Security Operation Space
23 марта, суббота, 00:00
|
Hot News:

В очередной версии Google Chrome закрыли 60 уязвимостей

14 марта 2019 г., четверг, 15:14

В Chrome версии 73 запретили автоматическую загрузку из скрытых в коде элементов iframe

Компания Google выпустила обновление для своего браузера Chrome. В версии 73 исправили 60 багов, ни один из которых не является критическим. Недавно обнаруженную 0-day, которая давала преступникам возможность выполнить произвольный код, уже закрыли в версии 72.0.3626.121.

Chrome 73 автоматически блокирует загрузку контента из iframe-блоков, используемых для показа рекламы. Злоумышленники часто прячут в них эксплойты, внедряющие вредоносное ПО. Обнаружив в папке загрузок непонятный файл, жертва может случайно или из любопытства его открыть и тем самым запустить установку зловреда.

Пресекая попытки автоматически загрузить любые файлы из рекламных баннеров, Google планирует предотвратить атаки типа drive-by-download. Новая политика действует только в случае, если пользователь не взаимодействует с iframe-элементами. Если же он нажмет на объявление, запрет на загрузку будет снят.

Из 60 уязвимостей, закрытых в новом релизе, 18 обнаружили сторонние исследователи. Девять специалистов получили награды общей суммой $13,5 тыс.: одна премия в $7,5 тыс., четыре — по $1000 и еще четыре по $500.

В числе закрытых брешей c высоким уровнем угрозы числятся:

  • CVE-2019-5787: use-after-free в Canvas;
  • CVE-2019-5788: use-after-free в FileAPI;
  • CVE-2019-5789: use-after-free в WebMIDI;
  • CVE-2019-5790: переполнение буфера в V8;
  • CVE-2019-5791: перезапись освобожденного объекта объектом другого типа в V8;
  • CVE-2019-5792: целочисленное переполнение в PDFium.

В Google Chrome v.73 внесли улучшения для разработчиков — в частности, возможность создавать таблицы стилей и поддержку механизма Signed HTTP Exchanges (SXG). Последний позволяет доставлять контент с других сайтов без обращения к оригинальному хосту.

Среди визуальных новшеств — поддержка темного режима для пользователей macOS Mojave, а также задействование аппаратных клавиш для мультимедиа. Теперь на многих сервисах можно будет управлять воспроизведением и громкостью непосредственно с клавиатуры, даже если браузер работает в фоновом режиме.

Версия Chrome для Android позволит просматривать сохраненный в кэше контент даже без подключения к Интернету.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:19
12:15
10:15
10:15
09:15
08:15
07:15
06:24
05:26
16:31
16:24
16:15
14:19
13:15
13:15
11:15
09:15
08:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.230
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.