Google vá 34 lỗ hổng trong trình duyệt Chrome 67

Google đã cập nhật trình duyệt Chrome của mình lên phiên bản 67.0.3396.62 để vá 34 lỗi trình duyệt và thêm hỗ trợ cho API quản lý thông tin xác thực được gọi là WebAuthn. Google cho biết bản cập nhật sẽ có sẵn trong những ngày tới cho các nền tảng Windows, Mac và Linux.

Điểm đáng chú ý nhất trong bản cập nhật trình duyệt là bản sửa lỗi Spectre. Bản sửa lỗi bao gồm một tính năng bổ sung được gọi là Site Isolation, về cơ bản là tách các quy trình giữa các tab khác nhau – để nếu một tab bị lỗi, các tab khác sẽ tiếp tục hoạt động. Điều này cũng bảo vệ trình duyệt Chrome khỏi các lỗ hổng speculative side-channel CPU như Spectre bởi vì nó làm giảm lượng dữ liệu tiếp xúc với các cuộc side channel attack.

Các bản sửa lỗi cho Chrome 67 bao gồm chín đánh giá cao. Một trong số đó là lỗi truy cập bộ nhớ ngoài (CVE-2018-6130) trong Web Real Time Communication (WebRTC), là một dự án mã nguồn mở cung cấp các trình duyệt web với real-time communication thông qua các API đơn giản. Google cũng vá một lỗi tràn bộ nhớ đệm trong thư viện đồ họa nguồn mở Skia (CVE-2018-6126) và lỗi overly permissive policy (CVE-2018-6125) trong API WebUSB, cung cấp cách để hiển thị các dịch vụ thiết bị USB cho Web. Dưới đây là danh sách đầy đủ các lỗ hổng cố định được xếp hạng cao.

• CVE-2018-6123: Use after free trong Blink.
• CVE-2018-6124: Type confusion trong Blink.
• CVE-2018-6125: Overly permissive policy trong WebUSB.
• CVE-2018-6126: Heap buffer overflow trong Skia.
• CVE-2018-6127: Use after free trong indexedDB.
• CVE-2018-6128: uXSS trong Chrome cho iOS.
• CVE-2018-6129: Out of bounds memory access trong WebRTC.
• CVE-2018-6130: Out of bounds memory access trong WebRTC.
• CVE-2018-6131: Incorrect mutability protection trong WebAssembly.

Một phần của bản cập nhật Google cũng bao gồm việc giới thiệu API WebAuthn vào Chrome 67. API này cho phép người dùng đăng nhập vào tài khoản của họ bằng các phương pháp thay thế như tùy chọn sinh trắc học từ trình đọc vân tay, quét iris hoặc nhận dạng khuôn mặt. Mozilla gần đây cũng đã thêm tính năng này vào Firefox 60.

Cuối cùng, phiên bản Chrome mới nhất đã ngừng sử dụng tính năng hỗ trợ khóa công khai HTTP của trình duyệt; thay vào đó, sử dụng giải pháp linh hoạt hơn của các tiêu đề Expect-CT. Kế hoạch này lần đầu tiên được công bố vào năm 2017 sau khi Google cho rằng việc ghim khóa công khai khiến quản trị viên trang web gặp khó khăn trong việc chọn một bộ khóa đáng tin cậy để ghim.

Chrome 67 dành cho máy tính để bàn hiện khả dụng. Các phiên bản Android và Chrome OS sẽ sớm được phát hành sau đó.