В очередной версии Google Chrome закрыли 60 уязвимостей

В Chrome версии 73 запретили автоматическую загрузку из скрытых в коде элементов iframe

Компания Google выпустила обновление для своего браузера Chrome. В версии 73 исправили 60 багов, ни один из которых не является критическим. Недавно обнаруженную 0-day, которая давала преступникам возможность выполнить произвольный код, уже закрыли в версии 72.0.3626.121.

Chrome 73 автоматически блокирует загрузку контента из iframe-блоков, используемых для показа рекламы. Злоумышленники часто прячут в них эксплойты, внедряющие вредоносное ПО. Обнаружив в папке загрузок непонятный файл, жертва может случайно или из любопытства его открыть и тем самым запустить установку зловреда.

Пресекая попытки автоматически загрузить любые файлы из рекламных баннеров, Google планирует предотвратить атаки типа drive-by-download. Новая политика действует только в случае, если пользователь не взаимодействует с iframe-элементами. Если же он нажмет на объявление, запрет на загрузку будет снят.

Из 60 уязвимостей, закрытых в новом релизе, 18 обнаружили сторонние исследователи. Девять специалистов получили награды общей суммой $13,5 тыс.: одна премия в $7,5 тыс., четыре — по $1000 и еще четыре по $500.

В числе закрытых брешей c высоким уровнем угрозы числятся:

• CVE-2019-5787: use-after-free в Canvas;
• CVE-2019-5788: use-after-free в FileAPI;
• CVE-2019-5789: use-after-free в WebMIDI;
• CVE-2019-5790: переполнение буфера в V8;
• CVE-2019-5791: перезапись освобожденного объекта объектом другого типа в V8;
• CVE-2019-5792: целочисленное переполнение в PDFium.

В Google Chrome v.73 внесли улучшения для разработчиков — в частности, возможность создавать таблицы стилей и поддержку механизма Signed HTTP Exchanges (SXG). Последний позволяет доставлять контент с других сайтов без обращения к оригинальному хосту.

Среди визуальных новшеств — поддержка темного режима для пользователей macOS Mojave, а также задействование аппаратных клавиш для мультимедиа. Теперь на многих сервисах можно будет управлять воспроизведением и громкостью непосредственно с клавиатуры, даже если браузер работает в фоновом режиме.

Версия Chrome для Android позволит просматривать сохраненный в кэше контент даже без подключения к Интернету.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля