Google Chrome-ის უახლეს განახლებაში უსაფრთხოების 43 ხარვეზს ასწორებს

Chrome ბრაუზერის უახლეს განახლებაში Google-მა უსაფრთხოების 43 პრობლემა მოაგვარა, რომელთაგან ბევრი კრიტიკულად ითვლება.

ოთხშაბათს Google დააყენა Chrome 44 Windows-ისთვის, Mac-ისთვის და Linux-ისთვის სტაბილურ არხზე და საჯარო გამოშვებისთვის. როგორც Chrome 44.0.2403.89 განახლების ნაწილი, გამოსწორდა 43 შეცდომა, რომელთაგან ბევრი ხარვეზია წარმოდგენილი გარე მკვლევარების მიერ.

ყველაზე კრიტიკულ საკითხებში შედის უნივერსალური ჯვარედინი სკრიპტის (UXSS) ხარვეზები Chrome-ისთვის Android-ისთვის და Chrome Blink განლაგების ძრავა, heap-buffer-overflow შეცდომები, ხარვეზი, რომელიც საშუალებას აძლევს შესრულებადი ფაილების გაშვებას დაუყოვნებლივ ჩამოტვირთვის შემდეგ და კონტენტის უსაფრთხოების პოლიტიკის (CSP) გვერდის ავლით Chrome ბრაუზერი.

როგორც Google-ის შეცდომების სიკეთის პროგრამის ნაწილი, მკვლევარებს მიენიჭათ ფინანსური ჯილდო, საკითხის სიმძიმის მიხედვით. რიგი ჯილდოები ჯერ კიდევ არ არის გადაწყვეტილი, მაგრამ წერის დროს ყველაზე კრიტიკულმა ხარვეზებმა მკვლევარებმა ფულადი ჯილდოები გამოიმუშავეს $500-დან $7500-მდე. საერთო ჯამში, დაახლოებით 40,000 დოლარი გადაეცა უსაფრთხოების მკვლევარებს.

შეცდომების შესახებ მონადირეების მიერ წარმოდგენილი დაუცველობის სრული სია ქვემოთ მოცემულია:

• მაღალი CVE-2015-1271: Heap-buffer-overflow pdfium-ში. კრედიტი cloudfuzzer-ზე.
• მაღალი CVE-2015-1273: Heap-buffer-overflow pdfium-ში. კრედიტი makosoft-ზე.
• მაღალი CVE-2015-1274: პარამეტრები საშუალებას აძლევს შესრულებადი ფაილების გაშვებას ჩამოტვირთვისთანავე. საკრედიტო andrewm.bpi.
• მაღალი CVE-2015-1275: UXSS Chrome-ში Android-ისთვის. Baidu X-Team-ის WangTao-ს (neobyte) კრედიტი.
• მაღალი CVE-2015-1276: უფასო გამოყენება IndexedDB-ში. კრედიტი კოლინ პეინს.
• მაღალი CVE-2015-1279: Heap-buffer-overflow pdfium-ში. კრედიტი mlafon-ზე.
• მაღალი CVE-2015-1280: მეხსიერების კორუფცია სკიაში. კრედიტი cloudfuzzer-ზე.
• მაღალი CVE-2015-1281: CSP შემოვლითი. კრედიტი მასატო კინუგავაზე.
• მაღალი CVE-2015-1282: უფასო გამოყენება pdfium-ში. ჩამალ დე სილვას კრედიტი.
• მაღალი CVE-2015-1283: Heap-buffer-overflow in expat. საკრედიტო sidhpurwala.huzaifa.
• მაღალი CVE-2015-1284: გამოყენება-უფასო მოციმციმე. კრედიტი OUSPG-ის Atte Kettunen-ზე.
• მაღალი CVE-2015-1286: UXSS მოციმციმე. კრედიტი ანონიმისთვის.
• საშუალო CVE-2015-1287: SOP შემოვლითი CSS-ით. კრედიტი ფაილის აღწერისთვის.
• საშუალო CVE-2015-1270: არაინიციალირებული მეხსიერების წაკითხვა ICU-ში. კრედიტი OUSPG-ის Atte Kettunen-ზე.
• საშუალო CVE-2015-1272: უფასო გამოყენება დაკავშირებულია GPU პროცესის მოულოდნელ შეწყვეტასთან. ჩამალ დე სილვას კრედიტი.
• საშუალო CVE-2015-1277: უფასო გამოყენება ხელმისაწვდომობაში. კრედიტი SkyLined-ზე.
• საშუალო CVE-2015-1278: URL-ის გაყალბება pdf ფაილების გამოყენებით. ჩამალ დე სილვას კრედიტი.
• საშუალო CVE-2015-1285: ინფორმაციის გაჟონვა XSS აუდიტორში. საკრედიტო gazheyes.
• დაბალი CVE-2015-1288: მართლწერის შემოწმების ლექსიკონები მოტანილია HTTP-ით. საკრედიტო მისამართი: [email protected].

გარდა ამისა, Chrome-ის უსაფრთხოების ჯგუფმა მოაგვარა სხვადასხვა პრობლემები შიდა აუდიტისა და გაურკვევლობის საფუძველზე.

ივნისში Google გამოუშვა განახლება რომელმაც მოაგვარა უსაფრთხოების ხარვეზები, მათ შორის ორი ჯვარედინი წარმოშობის გვერდის ავლით ხარვეზი და სქემის ვალიდაციის შეცდომა.

წაიკითხეთ: საუკეთესო არჩევანი

• როგორ მივიღოთ Wi-Fi ანონიმურად მილის მანძილზე
• როგორ ავიღოთ გაერთიანებული სამეფოს პოლიტიკოსების ანგარიშები საჯარო Wi-Fi ჰაკერების გამოყენებით
• iOS-ის სერიოზული ხარვეზი ითხოვს iCloud-ის პაროლის მოპარვას
• ჰაკერების გუნდი: კიბერთავდასხმის შემდეგ ჩვენ არ "დავიცვივდებით და არ წავალთ".
• არმიის ეგზოჩონჩხები ჯარისკაცებს სროლისთვის ამზადებენ
• ჰაკერები აკონტროლებენ სამედიცინო ტუმბოებს ფატალური დოზების ადმინისტრირებისთვის