-
14/01/2021
-
19
-
81 bài viết
Bản cập nhật Chrome 101 được phát hành với bản sửa lỗi cho 30 lỗ hổng
Trong tuần này, Google Chrome 101 đã được phát hành với 30 bản fix lỗi an ninh, trong đó có 25 bản sửa lỗi cho các lỗ hổng được các nhà nghiên cứu khác report.
Bản update lần này giải quyết lỗ hổng use-after-free (CVE-2022-1477) có mức độ nghiêm trọng cao trong 3D graphics và Vulkan, được báo cáo bởi SeongHwan Park (SeHwa) - người đã nhận được khoản tiền thưởng 10.000 USD.
Sáu lỗ hổng có mức độ nghiêm trọng cao khác do các nhà nghiên cứu báo cáo cũng đã được giải quyết trong phiên bản Chrome 101. Bốn trong số đó là các lỗ hổng use-after-free ảnh hưởng đến trình render SwiftShader 3D, Angle WebGL backend, Device API và Sharing component.
Google cho biết họ đã trả 7.000 đô la tiền thưởng cho mỗi lỗi trong SwiftShader và Angle, đồng thời trao phần thưởng 6.000 đô la và 5.000 đô la cho các vấn đề ảnh hưởng đến Device AP và Sharing.
Hai lỗi có mức độ nghiêm trọng cao khác được giải quyết trong bản phát hành Chrome mới nhất là lỗi triển khai không phù hợp trong WebGL và lỗ hổng tràn bộ đệm (buffer overflow) heap trong WebGPU.
Những lỗ hổng này đã được báo cáo bởi Christoph Diehl từ Microsoft và Mark Brand từ Google Project Zero. Theo chính sách của Google, sẽ không có phần thưởng lỗi nào được trao cho một trong hai người.
Tuy nhiên, gã khổng lồ Internet nói rằng 15 trong số các lỗ hổng được report còn lại đủ tiêu chuẩn để nhận tiền thưởng. Nhìn chung, công ty đã trao 82.000 đô la tiền thưởng, nhưng số tiền cuối cùng có thể cao hơn, vì phần thưởng cho một vài lỗ hổng vẫn chưa được xác định. Ngoài ra, Google cũng không đề cập đến bất kỳ lỗ hổng đã được giải quyết nào đang bị khai thác.
Phiên bản mới nhất của Chrome hiện đang được triển khai cho người dùng Windows, macOS và Linux với tên gọi Chrome 101.0.4951.41.
Bản update lần này giải quyết lỗ hổng use-after-free (CVE-2022-1477) có mức độ nghiêm trọng cao trong 3D graphics và Vulkan, được báo cáo bởi SeongHwan Park (SeHwa) - người đã nhận được khoản tiền thưởng 10.000 USD.
Sáu lỗ hổng có mức độ nghiêm trọng cao khác do các nhà nghiên cứu báo cáo cũng đã được giải quyết trong phiên bản Chrome 101. Bốn trong số đó là các lỗ hổng use-after-free ảnh hưởng đến trình render SwiftShader 3D, Angle WebGL backend, Device API và Sharing component.
Google cho biết họ đã trả 7.000 đô la tiền thưởng cho mỗi lỗi trong SwiftShader và Angle, đồng thời trao phần thưởng 6.000 đô la và 5.000 đô la cho các vấn đề ảnh hưởng đến Device AP và Sharing.
Hai lỗi có mức độ nghiêm trọng cao khác được giải quyết trong bản phát hành Chrome mới nhất là lỗi triển khai không phù hợp trong WebGL và lỗ hổng tràn bộ đệm (buffer overflow) heap trong WebGPU.
Những lỗ hổng này đã được báo cáo bởi Christoph Diehl từ Microsoft và Mark Brand từ Google Project Zero. Theo chính sách của Google, sẽ không có phần thưởng lỗi nào được trao cho một trong hai người.
Tuy nhiên, gã khổng lồ Internet nói rằng 15 trong số các lỗ hổng được report còn lại đủ tiêu chuẩn để nhận tiền thưởng. Nhìn chung, công ty đã trao 82.000 đô la tiền thưởng, nhưng số tiền cuối cùng có thể cao hơn, vì phần thưởng cho một vài lỗ hổng vẫn chưa được xác định. Ngoài ra, Google cũng không đề cập đến bất kỳ lỗ hổng đã được giải quyết nào đang bị khai thác.
Phiên bản mới nhất của Chrome hiện đang được triển khai cho người dùng Windows, macOS và Linux với tên gọi Chrome 101.0.4951.41.
Theo: securityweek