Google je u utorak najavio puštanje Chromea 116 na stabilni kanal sa zakrpama za 26 ranjivosti, uključujući 21 koju su prijavili vanjski istraživači.
Od eksterno prijavljenih grešaka, osam ima ocjenu ozbiljnosti ‘visoku’, pri čemu je većina problema sa sigurnošću memorije.
Na osnovu isplaćene nagrade za pronalaženje greške, najvažnija od njih je CVE-2023-2312, greška u komponenti van mreže koja se ne koristi nakon upotrebe. Istraživač koji ju je otkrio dobio je nagradu od 30.000 dolara za ovo otkriće, otkriva Googleov savjet.
Sljedeći na redu je CVE-2023-4349, problem use-after-free u konektorima za pouzdanost uređaja, nakon čega slijedi neprikladna implementacija na cijelom ekranu (CVE-2023-4350) i use-after-free greška u mreži (CVE- 2023-4351), za koje je Google isplatio nagrade od 5.000, 3.000 i 2.000 dolara.
Preostale četiri ranjivosti visoke ozbiljnosti koje Chrome 116 rješava uključuju grešku u konfuziji tipa u V8 JavaScript engine-u, grešku heap buffer overflow u ANGLE, drugu u Skia-i i problem pristupa memoriji izvan granica u V8 engine-u.
Ove probleme su prijavili istraživači iz Google Project Zero i Microsoft istraživanja ranjivosti i, prema Googleovoj politici, za njih neće biti dodijeljena nagrada za bugove.
Sve preostale vanjske prijavljene ranjivosti koje se rješavaju u Chromeu 116 su srednje ozbiljnosti: šest neprikladnih grešaka u implementaciji, tri use-after-free problema, dva nedostatka u provođenju politika, jedna nedovoljna provjera valjanosti nepouzdanog unosa i jedna ranjivost heap buffer overflow.
Sveukupno, Google je podijelio 63.000 dolara u nagradama za bugove istraživačima.
Internet gigant ne pominje da je bilo koja od ovih ranjivosti iskorištena u napadima.
Najnovija verzija Chromea izlazi kao verzija 116.0.5845.96 za Mac i Linux i kao verzije 116.0.5845.96/.97 za Windows.
Počevši od Chrome 116, koji je internet gigant najavio prošle sedmice, zakrpe za popularni pretraživač će se isporučivati na sedmičnoj bazi, kako bi se osiguralo da ispravke za novootkrivene nedostatke brže stignu do korisnika.
Glavne Chrome verzije će i dalje stizati svake četiri sedmice, ali stabilna ažuriranja, koja se objavljuju svake dvije sedmice od 2020. godine, sada će biti češća, smanjujući jaz između zakrpa.
“Iako ne možemo u potpunosti ukloniti potencijal za n-day eksploataciju, sedmični ritam sigurnosnog ažuriranja Chromea omogućava isporuku sigurnosnih popravki u prosjeku 3,5 dana ranije, uvelike smanjujući ionako mali period za n-day napadače da razviju i koriste ranjivost protiv potencijalnih žrtava i znatno otežaju njihove živote”, rekao je Google.
Izvor: Securityweek