Google net vrijgegeven patches voor CVE-2017-5070 en 29 andere gebreken in Chrome in de laatste stabiele versie van de browser, Chrome 59.0.3071.86. Google uitbetaald $23,500 aan externe onderzoekers hun bevindingen.
Naast de Chrome gebreken, een soort verwarring kwetsbaarheid in V8 (open-source JavaScript-engine voor Chrome) Ook werd vastgesteld, en de onderzoeker die het gevonden heb $7,500.
Chrome 59.0.3071.86: CVE-2017-5070 en andere vaste beveiligingslekken
Google heeft drie adres-spoofing-fouten in de nieuwste versie van zijn browser verholpen en nog een aantal sinds september vorig jaar. Aanvallers hebben deze gebreken gebruikt om gebruikers te verleiden tot het bezoeken van verdachte websites, zelfs degenen vol met malware.
Google was heel grondig in het vrijgeven van de gegevens rond de kwetsbaarheden die in high werden gegroepeerd, medium, en low-ernst groepen:
[$7500] [722756] High CVE-2017-5070: Typ verwarring in V8. Overgeleverd door Zhao Qixun(@ S0rryMybad) van Qihoo 360 Vulcan Team op 2017-05-16 [$3000] [715582] High CVE-2017-5071: Out of bounds lezen in V8. Overgeleverd door Choongwoo Han op 2017-04-26 [$3000] [709417] High CVE-2017-5072: Adres spoofing in Omnibox. Overgeleverd door Rayyan Bijoora op 2017-04-07 [$2000] [716474] High CVE-2017-5073: Gebruik na een vrije in afdrukvoorbeeld. Overgeleverd door Khalil Zhani op 2017-04-28 [$1000] [700040] High CVE-2017-5074: Gebruik na een vrije Apps Bluetooth. Gemeld door annoniem op 2017-03-09 [$2000] [678776] Medium CVE-2017-5075: Lekken van informatie in CSP rapportage. Overgeleverd door Emmanuel Gil Peyrot op 2017-01-05 [$1000] [722639] Medium CVE-2017-5086: Adres spoofing in Omnibox. Overgeleverd door Rayyan Bijoora op 2017-05-16 [$1000] [719199] Medium CVE-2017-5076: Adres spoofing in Omnibox. Overgeleverd door Samuel Erb op 2017-05-06 [$1000] [716311] Medium CVE-2017-5077: Heapbufferoverloop in Skia. Overgeleverd door Sweetchip op 2017-04-28 [$1000] [711020] Medium CVE-2017-5078: Mogelijke commando injectie in mailto hanteren. Gemeld door Jose Carlos Exposito Bueno op 2017-04-12 [$500] [713686] Medium CVE-2017-5079: UI spoofing in Blink. Overgeleverd door Khalil Zhani op 2017-04-20 [$500] [708819] Medium CVE-2017-5080: Gebruik na een vrije in credit card autofill. Overgeleverd door Khalil Zhani op 2017-04-05 [$N / A] [672008] Medium CVE-2017-5081: Uitbreiding verificatie bypass. Overgeleverd door Andrey Kovalev (@ L1kvID) Yandex Security Team op 2016-12-07 [$N / A] [721579] Low CVE-2017-5082: Onvoldoende verharding in credit card editor. Overgeleverd door Nightwatch Cybersecurity Onderzoek 2017-05-11 [$N / A] [714849] Low CVE-2017-5083: UI spoofing in Blink. Overgeleverd door Khalil Zhani op 2017-04-24 [$N / A] [692378] Low CVE-2017-5085: Ongepast javascript uitvoering op WebUI pagina's. Overgeleverd door Zhiyang Zeng van Tencent security platform afdeling 2017-02-15
Google naar Native Ad-Blocker introduceren bij Chrome 2018
De update bevat geen oplossing voor een hack die aanvallers in staat stelt om kwaadaardige bestanden automatisch te downloaden naar de computer van een slachtoffer met de bedoeling om te stelen en te lanceren SMB relais aanvallen. Deze fout komt voort uit de manier waarop Chrome en Windows zelf .SCF-bestanden verwerken. Google is vermoedelijk de voorbereiding van een oplossing voor de kwestie.
Als voor de nabije toekomst, Google werkt momenteel aan een nieuwe ad-blocker voor Chrome dat volgend jaar moet worden ingevoerd. Volgens de Wall Street Journal, de nieuwe functie wordt standaard ingeschakeld en voorkomt dat advertenties worden weergegeven op websites die een slechte advertentie-ervaring voor gebruikers bieden.