Google phát hành Chrome 42 với hàng loạt bản vá bảo mật

Google vừa mới tung ra Chrome 42, một bản nâng cấp bảo mật bao gồm bản vá dành cho 45 lỗ hổng.

Phiên bản mới nhất của Chrome chứa bản vá một lượng lớn lỗ hổng mức độ cao. Trong đó chứa một cross-origin bypass trong trình phân tích HTML. Lỗ hổng được tìm thấy bởi một nhà nghiên cứu bảo mật giấu tên với mức tiền thưởng  $7,500. Tổng cộng Google đã thưởng $21,000 cho các nhà nghiên cứu bên ngoài báo cáo các lỗ hổng trong phiên bản này.

Trong các lỗ hổng nghiêm trọng được vá trên Chrome 42 có một lỗ hổng use-after-free ở thành phần IPC của trình duyệt và một lỗ hổng type confusion trên V8 engine. Google thưởng cho nhà nghiên cứu Amitay Dobo $4,000 với lỗ hổng cross-origin bypass trong Blink layout engine.

Danh sách các lỗ hổng được Google trao thưởng bao gồm:

[$7500][456518] High CVE-2015-1235: Cross-origin-bypass trong HTML parser từ một nhà nghiên cứu giấu tên.

[$4000][313939] Medium CVE-2015-1236: Cross-origin-bypass trong Blink từ Amitay Dobo.

[$3000][461191] High CVE-2015-1237: Use-after-free trong IPC từ Khalil Zhani.

[$2000][445808] High CVE-2015-1238: Out-of-bounds ghi trong Skia từ Cloudfuzzer.

[$1000][463599] Medium CVE-2015-1240: Out-of-bounds ghi trong WebGL từ w3bd3vil.

[$1000][418402] Medium CVE-2015-1241: Tap-Jacking từ Phillip Moon và Matt Weston.

[$500][460917] High CVE-2015-1242: Type confusion trong V8 từ fcole@onshape.com.

[$500][455215] Medium CVE-2015-1244: HSTS bypass trong WebSockets từ Mike Ruddy.

[$500][444957] Medium CVE-2015-1245: Use-after-free trong PDFium từ Khalil Zhani.

[$500][437399] Medium CVE-2015-1246: Out-of-bounds ghi trong Blink từ Atte Kettunen of OUSPG.

[$500][429838] Medium CVE-2015-1247: Vấn đề với Scheme trong OpenSearch từ Jann Horn.

[$500][380663] Medium CVE-2015-1248: SafeBrowsing bypass từ Vittorio Gambaletta (VittGam).

Ngoài ra, Google cũng vá những lỗ hổng khác được phát hiện bởi nhân viên công ty.

threatpost