Google ra mắt Chrome 43 với bản vá 37 lỗ hổng bảo mật

Google thông báo rằng Chrome 43 đã sẵn sàng để tải về. Phiên bản mới nhất này chứa rất nhiều cải thiện và bản vá, bao gồm 37 lỗ hổng bảo mật.

Lỗ hổng bảo mật nghiêm trọng nhất được vá trong Chrome 43 là mỗi lỗ hổng thoát khỏi sandbox (CVE-2015-1252) được báo cáo bởi một nhà nghiên cứu ẩn dành. Google đã trao 16,337$ cho nhà nghiên cứu này vì đã không tiết lộ lỗ hổng có độ nghiêm trọng cao.

Một lỗ hổng nghiêm trọng khác cross-origin bypass trong DOM (CVE-2015-1253) được Google trao thưởng 7,500$ cũng dành cho một chuyên gia giấu tên. Armin Razmdjou đến từ Rawsec được thưởng 3,000$ với lỗ hổng cross-origin bypass trong Editing (CVE-2015-1254). Khalil Zhani cùng mức giải thưởng với lỗ hổng use-after-free ảnh hưởng trên WebAudio (CVE-2015-1255), cộng thêm 1,000$ với lỗ hổng use-after-free trong WebRTC. Tổng cộng Google đã trả cho các nhà nghiên cứu ở bản Chrome 43 hơn 38,000$.

Chrome 43 cũng giới thiệu chính sách bảo mật nội dung (CSP) “Upgrade Insecure Requests“. CPS này được sử dụng để tự động nâng cấp HTTP request thành HTTPS  trước khi được chuyển hướng trong trình duyệt. Khi một trang chứa HTTP URL được truy cập thông qua HTTPS, cảnh báo “nội dung hỗ hợp” sẽ hiện ra. CPS giúp loại bỏ những cảnh báo như vậy.

securityweek