Тема: Google Chrome
Показать сообщение отдельно
Старый Добавлено: 05.09.2016, 17:24
  (#1633)
Mr. NEO
Избранный
Эксперт
 
Аватар для Mr. NEO

По умолчанию

Chrome 53 исключает подмену адресной строки

Google продолжает исправно латать Chrome: в минувшую среду вышла версия 53 браузера с патчами для 33 уязвимостей. Половина этих брешей оценена как высокой степени опасности.

Компания также выплатила как минимум $56,5 тыс. исследователям за вклад в поиск ныне закрываемых брешей. В некоторых случаях сумма вознаграждения еще не определена, а две уязвимости выходят за рамки программы Bug Bounty компании и не подлежат оплате.

Самых больших премий (по $7,5 тыс.) были удостоены две UXSS (universal XSS, обычно обход SOP, открывающий возможность для XSS-атаки) в движке Blink и внедрение скрипта в Extensions. Остальные высоко опасные уязвимости представлены в основном возможностью переполнения буфера в куче; ряд таких проблем был обнаружен в PDFium, дефолтном PDF-ридере Chrome.

Новая версия браузера исправляет также две ошибки, чреватые подменой адресной строки. Одна из них была обнаружена Рафаем Балохом две недели назад, характерна также для Firefox и уже принесла ему $1 тыс. от Mozilla. ИБ-команда Chrome оценила найденную Балохом брешь как умеренно опасную; в итоге исследователь получил от Google $3 тыс. О втором баге спуфинга в Chrome мало что известно, имя обнаружившего его исследователя также не оглашено.


Mr. NEO вне форума Отправить личное сообщение для Mr. NEO
Вверх
Ответить с цитированием
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
alex.ivanteevsc (23.10.2016), VerTigo (05.09.2016)
 
Время генерации страницы 0.16854 секунды с 12 запросами