Google har netop frigivet patches til CVE-2017-5070 og 29 andre fejl i Chrome i den seneste stabile version af browseren, Krom 59.0.3071.86. Google udbetalt $23,500 til eksterne forskere til deres resultater.
Ud over de Chrome mangler, en type forvirring sårbarhed i V8 (open source JavaScript-motor til Chrome) blev også fastsat, og den forsker, der fandt det fik $7,500.
Krom 59.0.3071.86: CVE-2017-5070 og andre faste Sårbarheder
Google har rettet tre adressespoofingfejl i den nyeste version af sin browser og flere flere siden sidste september. Angribere har brugt disse fejl at narre brugere til at besøge mistænkelige hjemmesider, selv dem pakket med malware.
Google var ganske grundig i at frigive detaljerne omkring sårbarhederne, som blev grupperet i høj, medium, og mindre fejl grupper:
[$7500] [722756] Høj CVE-2017-5070: Skriv forvirring i V8. Rapporteret af Zhao Qixun(@ S0rryMybad) af Qihoo 360 Vulcan Team på 2017-05-16 [$3000] [715582] Høj CVE-2017-5071: Out of bounds læst i V8. Rapporteret af Choongwoo Han på 2017-04-26 [$3000] [709417] Høj CVE-2017-5072: Adresse spoofing i omnifeltet. Rapporteret af Rayyan Bijoora på 2017-04-07 [$2000] [716474] Høj CVE-2017-5073: Anvendelse efter gratis i udskrift. Rapporteret af Khalil Zhani på 2017-04-28 [$1000] [700040] Høj CVE-2017-5074: Anvendelse efter gratis i Apps Bluetooth. Rapporteret af anonym på 2017-03-09 [$2000] [678776] Medium CVE-2017-5075: Information læk i CSP rapportering. Rapporteret af Emmanuel Gil Peyrot på 2017-01-05 [$1000] [722639] Medium CVE-2017-5086: Adresse spoofing i omnifeltet. Rapporteret af Rayyan Bijoora på 2017-05-16 [$1000] [719199] Medium CVE-2017-5076: Adresse spoofing i omnifeltet. Rapporteret af Samuel Erb på 2017-05-06 [$1000] [716311] Medium CVE-2017-5077: Stakbufferoverløb i Skia. Rapporteret af Sweetchip på 2017-04-28 [$1000] [711020] Medium CVE-2017-5078: Mulig kommando injektion i mailto håndtering. Rapporteret af Jose Carlos Exposito Bueno på 2017-04-12 [$500] [713686] Medium CVE-2017-5079: UI spoofing i Blink. Rapporteret af Khalil Zhani på 2017-04-20 [$500] [708819] Medium CVE-2017-5080: Anvendelse efter gratis i kreditkort autofyld. Rapporteret af Khalil Zhani på 2017-04-05 [$N / A] [672008] Medium CVE-2017-5081: Forlængelse verifikation bypass. Rapporteret af Andrey Kovalev (@ L1kvID) Yandex Security Team på 2016-12-07 [$N / A] [721579] Lav CVE-2017-5082: Utilstrækkelig hærdning i kreditkort-editor. Rapporteret af Nightwatch cybersikkerhed Forskning i 2017-05-11 [$N / A] [714849] Lav CVE-2017-5083: UI spoofing i Blink. Rapporteret af Khalil Zhani på 2017-04-24 [$N / A] [692378] Lav CVE-2017-5085: Upassende javascript udførelse på WebUI sider. Rapporteret af Zhiyang Zeng af Tencent sikkerhed platform afdeling på 2017-02-15
Google til Indføre Native Ad-Blocker til Chrome i 2018
Opdateringen indeholder ikke en rettelse til et hack, der gør det muligt for angribere at automatisk at hente skadelige filer til en ofrets computer med det formål at stjæle legitimationsoplysninger og lancere SMB relæ angreb. Denne fejl stammer fra den måde, hvorpå Chrome og Windows selv håndterer .SCF-filer. Google er angiveligt at forberede en løsning på det problem.
Som for den nærmeste fremtid, Google arbejder i øjeblikket på en ny annonce-blokker til Chrome, der bør indføres næste år. Ifølge Wall Street Journal, den nye funktion vil være tændt som standard og blokerer for, at annoncer vises på websteder, hvilket giver brugerne en dårlig annonceoplevelse.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: