Chrome phát hành bản vá lỗi nghiêm trọng

Google tung ra một phiên bản mới ổn định của trình duyệt Chrome 43.0.2357.130, cung cấp bản sửa lỗi cho lỗ hổng bảo mật nghiêm trọng.

Một phần danh sách các lỗi đã được tiết lộ, trong đó các nhà phát triển chỉ tiết lộ bốn vấn đề, hai trong số chúng là những lỗ hổng bảo mật khá nghiêm trọng.

Các lỗi nghiêm trọng đã được sửa chữa

Một nhà nghiên cứu giấu tên báo cáo cho Google một trong WebUI, được gọi là CVE-2015-1266 và nhận được một phần thưởng trị giá 5,000USD.

Đây là lỗi duy nhất trong đó phần thưởng cho nhà phát triển phát hiện ra lỗi được công khai.

Một vấn đề nghiêm trọng khác đã được báo cáo bởi Mariusz Mlynski, một nhà nghiên cứu bảo mật đến từ Ba Lan, người điều hành cuộc thi hack Pwn2Own năm nay – cuộc thi nhắm tới mục đích khai thác một lỗi cross-origin trong Mozilla Firefox và đạt được leo thang đặc quyền trong trình duyệt trong vòng chưa đầy một giây.

Lỗi trong Chrome bao gồm việc có thể bypass qua cơ chế CORS trong engine của trình duyệt và lỗ hổng đã được  định danh với mã số là: CVE-2015-1268.

Chi tiết lỗi được giữ bí mật cho đến khi hầu hết người dùng cập nhật

Theo báo cáo của nhà nghiên cứu Mike Ruddy, hai vấn đề khác đã được sửa trong Chrome mới nhất có liên quan đến một lỗ hổng cho phép vượt quá cơ chế cross-origin khác và một lỗi thông thường trong danh sách preload HSTS/HPKP.

Chrome 43.0.2357.130 hiện có sẵn cho Windows, Mac và Linux. Nó đã sửa chữa một lượng lớn các lỗi. Thông tin chi tiết về các vấn đề không được công khai tiết lộ cho đến khi hầu hết người dùng đã áp dụng các bản cập nhật.

Khi Chrome 43 đã được triển khai, công ty dành 40.000 USD làm phần thưởng cho các nhà nghiên cứu an ninh tự do, phần thưởng lớn nhất lên đến 16,337USD cho một lỗ hổng sandbox escape (CVE-2015-1253).

Softpedia