Вышел Chrome 33 на стабильном канале
Вышел Chrome 33 на стабильном канале
Только что состоялось обновление браузера Chrome на стабильном канале до версии 33.0.1750.117 под Windows, Mac и Linux. Компания Google закрыла 28 уязвимостей, в том числе 20 уязвимостей, которым присвоен наивысший рейтинг опасности (High).
В официальном блоге перечислены несколько уязвимостей, которые либо найдены сторонними исследователями, либо сами по себе представляют большой интерес (http://googlechromereleases.blogspot.com/2014/02/stab..).
[$2000][ 334897] High CVE-2013-6652: проблема с относительными путями (pipe policy) в песочнице Windows. Автор tyranid.
[$1000][ 331790] High CVE-2013-6653: баги типа “use-after-free” при обработке веб-контента. Автор Khalil Zhani.
[$3000][ 333176] High CVE-2013-6654: баг с обработкой SVG. Автор TheShow3511.
[$3000][ 293534] High CVE-2013-6655: баг типа “use-after-free” при обработке разметки. Автор cloudfuzzer.
[$500][ 331725] High CVE-2013-6656: утечка информации в XSS Auditor. Автор NeexEmil.
[$1000][ 331060] Medium CVE-2013-6657: утечка информации в XSS Auditor. Автор NeexEmil.
[$2000][ 322891] Medium CVE-2013-6658: баг типа “use-after-free” при обработке разметки. Автор cloudfuzzer.
[$1000][ 306959] Medium CVE-2013-6659: проблема с валидацией сертификатов при рукопожатии TLS. Авторы Antoine Delignat-Lavaud и Karthikeyan Bhargavan из исследовательской группы Prosecco в Inria Paris.
[332579] Low CVE-2013-6660: утечка информации при перетягивании мышкой (drag and drop). Автор bishopjeffreys.
Как обычно, основную часть уязвимостей нашел собственный отдел безопасности Google.
[344876] Low-High CVE-2013-6661: 18 багов, закрытых после внутреннего аудита, фаззинга и других программ. Из них семь уязвимостей допускают выполнение кода за пределами песочницы из-за скомпрометированных модулей рендеринга разных форматов.
Специалисты Google отмечают, что много багов обнаружила программа поиска ошибок в памяти для C/C++ AddressSanitizer.
Кроме обновления собственного браузера, компания Google объявила об окончательном прекращении разработки Chrome Frame для Internet Explorer. Это дополнение позволяло отображать страницы в Internet Explorer так, как они выглядели бы в браузере Google Chrome. Теперь плагин признан устаревшим и несоответствующим стандартам открытого веба.
