WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Google vá 30 lỗ hổng trên Chrome 59
Ngày 5/6, Google thông báo phát hành Chrome 59, phiên bản có nhiều cải tiến về thiết kế và chức năng, đồng thời vá hàng chục lỗ hổng.
Theo Google, tổng cộng 30 lỗ hổng đã được vá, trong đó có nhiều lỗi do các nhà nghiên cứu bên ngoài thông báo.
Lỗ hổng nghiêm trọng nhất được thông báo cho Google vào giữa tháng 5, một hacker phát hiện lỗi “type confusion” (loạn bộ nhớ) - thuộc mức nghiêm trọng trong engine V8 JavaScript (CVE-2017-5070).
Trước đó vào tháng 4 các nhà phát triển Chrome cũng được thông báo về lỗ hổng nghiêm trọng gồm có đọc ngoại vi (out-of-bounds read) - CVE-2017-5071 và giả mạo thanh địa chỉ (omnibox address spoofing) - CVE-2017-5072.
Ngoài ra, còn có lỗ hổng ở mức độ nghiêm trọng use-after-free (lỗ hổng ở khâu quản lý bộ nhớ), lỗi lộ lọt thông tin ở mức độ trung bình trong báo cáo về CSP và một số lỗi trung bình thấp khác.
Danh sách các lỗ hổng mức độ trung bình và thấp được vá trong bản Chrome 59 bao gồm omnibox address spoofing, tràn bộ đệm Skia, tiêm nhiễm lệnh (command injection) trong xử lý mailto, lừa đảo giao diện người dùng Blink, qua mặt xác thực mở rộng và thực thi JavaScript không phù hợp trên các trang WebUI.
Google đã chi trả hơn 9 triệu USD kể từ khi ra mắt chương trình tìm lỗi nhận thưởng năm 2010. Vì các lỗ hổng ngày càng khó để phát hiện nên các đại gia công nghệ gần đây quyết định tăng nhiều tiền thưởng hơn cho các lỗi nghiêm trọng.
Theo Google, tổng cộng 30 lỗ hổng đã được vá, trong đó có nhiều lỗi do các nhà nghiên cứu bên ngoài thông báo.
Lỗ hổng nghiêm trọng nhất được thông báo cho Google vào giữa tháng 5, một hacker phát hiện lỗi “type confusion” (loạn bộ nhớ) - thuộc mức nghiêm trọng trong engine V8 JavaScript (CVE-2017-5070).
Trước đó vào tháng 4 các nhà phát triển Chrome cũng được thông báo về lỗ hổng nghiêm trọng gồm có đọc ngoại vi (out-of-bounds read) - CVE-2017-5071 và giả mạo thanh địa chỉ (omnibox address spoofing) - CVE-2017-5072.
Ngoài ra, còn có lỗ hổng ở mức độ nghiêm trọng use-after-free (lỗ hổng ở khâu quản lý bộ nhớ), lỗi lộ lọt thông tin ở mức độ trung bình trong báo cáo về CSP và một số lỗi trung bình thấp khác.
Danh sách các lỗ hổng mức độ trung bình và thấp được vá trong bản Chrome 59 bao gồm omnibox address spoofing, tràn bộ đệm Skia, tiêm nhiễm lệnh (command injection) trong xử lý mailto, lừa đảo giao diện người dùng Blink, qua mặt xác thực mở rộng và thực thi JavaScript không phù hợp trên các trang WebUI.
Google đã chi trả hơn 9 triệu USD kể từ khi ra mắt chương trình tìm lỗi nhận thưởng năm 2010. Vì các lỗ hổng ngày càng khó để phát hiện nên các đại gia công nghệ gần đây quyết định tăng nhiều tiền thưởng hơn cho các lỗi nghiêm trọng.
Nguồn: SecurityWeek