Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В браузере исправлены более сорока багов, в том числе опасные уязвимости в менеджере загрузке и службе Service Worker.
Компания Google выпустила новую версию Chrome для Windows, macOS и Linux. Релиз 75.0.3770.80 доступен для загрузки всем пользователям обозревателя и содержит 42 исправления, связанных с безопасностью. Апдейты затрагивают скрипт фонового запуска Service Worker, менеджер загрузки, механизм безопасности CORS и другие модули браузера. Как обычно, вендор не раскрыл технические детали проблем и лишь кратко анонсировал 13 уязвимостей, которые были найдены сторонними исследователями.
Самое большое вознаграждение исследователи получили за сообщение об ошибке Use-After-Free в компоненте Service Worker. Этот модуль отвечает за запуск внутренних служб браузера, работающих в фоновом режиме. При помощи этой технологии в Chrome реализованы push-уведомления и другие функции.
Этот баг использования динамической памяти зарегистрирован как CVE-2019-5828 и имеет высокий рейтинг опасности. Обнаружившие его ИБ-специалисты Бэйханского университета и китайской компании Qihoo 360 получили от Google $5 тыс.
Несмотря на такую же степень угрозы, другая уязвимость обращения к памяти после освобождения ячейки была оценена разработчиками браузера в 10 раз дешевле. Ошибка в менеджере загрузок была найдена аналитиками Microsoft Browser Vulnerability Research и получила идентификатор CVE-2019-5829 в базе данных известных уязвимостей.
Еще восемь багов имеют средний уровень опасности. Среди них выделяются две ошибки в системе безопасности CORS, зарегистрированные как CVE-2019-5830 и CVE-2019-5832. Первая из них обнаружена Андреем Красичковым из Yandex Security Team и связана с неправильным запросом учетных данных. Вторая уязвимость относится к неправильной обработке cross-origin запросов в API XMLHttpRequest.
Остальные пропатченные недостатки, о которых сообщил Google, связаны с некорректным использованием карт в платформе v8, переполнением кучи в графическом движке ANGLE, возможностью чтения за границами допустимого диапазона в системе рендеринга Swiftshader и другими багами.
Обновление Chrome для iOS и Android, как обычно, будет анонсировано позже. Как недавно стало известно, мобильные релизы браузера имеют недостаток интерфейса, который может быть использован фишерами. Как выяснили ИБ-специалисты, злоумышленник может разместить на своей странице фальшивую адресную строку, которая будет отображаться на экране устройства, когда обозреватель скроет URL. Это может ввести пользователя в заблуждение и стать причиной кражи персональных данных.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |