patch Google ha appena rilasciato per CVE-2017-5070 e 29 altri difetti in Chrome in l'ultima versione stabile del browser, Cromo 59.0.3071.86. Google pagato fuori $23,500 per i ricercatori esterni per i loro risultati.
Oltre i difetti Chrome, una vulnerabilità tipo confusione V8 (motore JavaScript open source per Chrome) è stato inoltre fissato, e il ricercatore che ha trovato ha ottenuto $7,500.
Cromo 59.0.3071.86: CVE-2017-5070 e altre vulnerabilità fissi
Google ha corretto tre falle di spoofing degli indirizzi nell'ultima versione del suo browser e molti altri dallo scorso settembre. Gli aggressori hanno usato questi difetti per indurre gli utenti a visitare siti Web sospetti, anche quelli confezionati da malware.
Google era abbastanza approfondita nel rilasciare i dettagli che circondano le vulnerabilità che sono state raggruppate in alto, medio, e gruppi a basso gravità:
[$7500] [722756] Alta CVE-2017-5070: Digitare confusione nella V8. Segnalato da Zhao Qixun(@ S0rryMybad) di Qihoo 360 Vulcan Team 2017-05-16 [$3000] [715582] Alta CVE-2017-5071: Fuori dai limiti leggere V8. Segnalato da Choongwoo Han su 2017-04-26 [$3000] [709417] Alta CVE-2017-5072: Indirizzo spoofing in Omnibox. Segnalato da Rayyan Bijoora su 2017-04-07 [$2000] [716474] Alta CVE-2017-5073: Utilizzare dopo gratis in anteprima di stampa. Segnalato da Khalil Zhani su 2017-04-28 [$1000] [700040] Alta CVE-2017-5074: Utilizzare dopo gratis in App Bluetooth. Segnalato da anonimo il 2017-03-09 [$2000] [678776] Media CVE-2017-5075: Fuga di notizie CSP segnalazione. Segnalato da Emmanuel Gil Peyrot su 2017-01-05 [$1000] [722639] Media CVE-2017-5086: Indirizzo spoofing in Omnibox. Segnalato da Rayyan Bijoora su 2017-05-16 [$1000] [719199] Media CVE-2017-5076: Indirizzo spoofing in Omnibox. Segnalato da Samuel Erb su 2017-05-06 [$1000] [716311] Media CVE-2017-5077: buffer overflow in Skia. Segnalato da Sweetchip su 2017-04-28 [$1000] [711020] Media CVE-2017-5078: Possibile comando iniezione mailto gestione. Segnalato da Jose Carlos Exposito Bueno su 2017-04-12 [$500] [713686] Media CVE-2017-5079: UI spoofing in Blink. Segnalato da Khalil Zhani su 2017-04-20 [$500] [708819] Media CVE-2017-5080: Utilizzare dopo gratis in carta di credito riempimento automatico. Segnalato da Khalil Zhani su 2017-04-05 [$N / A] [672008] Media CVE-2017-5081: verifica Extension by-pass. Segnalato da Andrey Kovalev (@ L1kvID) Yandex Security Team su 2016-12-07 [$N / A] [721579] Low CVE-2017-5082: indurimento insufficiente nel editor di carta di credito. Segnalato da Nightwatch Cybersecurity la ricerca sul 2017-05-11 [$N / A] [714849] Low CVE-2017-5083: UI spoofing in Blink. Segnalato da Khalil Zhani su 2017-04-24 [$N / A] [692378] Low CVE-2017-5085: esecuzione di JavaScript inappropriato sulle pagine WebUI. Segnalato da Zhiyang Zeng di Tencent reparto piattaforma di sicurezza su 2017-02-15
Google per introdurre nativo Ad-Blocker a Chrome in 2018
L'aggiornamento non include una correzione per un hack che permette agli aggressori di scaricare automaticamente i file maligni sul computer di una vittima con lo scopo di rubare le credenziali e lanciare attacchi relè SMB. Questo difetto deriva dal modo in cui Chrome e Windows stesso gestiscono i file .SCF. Google sta presumibilmente preparando una correzione per il problema.
Per quanto riguarda il prossimo futuro, Google sta attualmente lavorando su un nuovo annuncio-bloccante per Chrome che dovrebbe essere introdotto l'anno prossimo. Secondo il Wall Street Journal, la nuova funzione sarà attivata per impostazione predefinita e bloccherà la visualizzazione degli annunci sui siti Web che forniscono agli utenti un'esperienza pubblicitaria negativa.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: