WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google cập nhật Chrome 49, vá nhiều lỗ hổng nghiêm trọng
Google lại một lần nữa cập nhật Chrome 49 cho Windows, Mac và Linux vá nhiều lỗ hổng có nguy cơ cao.
Chrome 49.0.2623.108 giải quyết 05 lỗ hổng, bốn trong số đó được phát hiện bởi các nhà nghiên cứu bên ngoài.
Các nhà nghiên cứu tìm ra hai lỗ hổng có mức nghiêm trọng cao trong Navigation (CVE-2016-1647) và Extensions (CVE-2016-1648) đã được Google thưởng 5.500 USD và 5.000 USD cho từng lỗ hổng tương ứng.
Một lỗ hổng có mức nghiêm trọng cao khác là lỗi đọc out-of-bound trong V8 JavaScript (CVE-2016-1646) mà Wen Xu từ Tencent KeenLab đã được thưởng 7.500 USD.
Tại cuộc thi Pwn2Own 2016 gần đây, JungHoon Lee (lokihardt) đã cố gắng chứng minh một mã khai thác thực thi đối với Chrome, nhưng thất bại. Thay vào đó, nhà nghiên cứu tìm ra lỗi tràn bộ đệm nghiêm trọng trong libANGLE (CVE-2016-1649). Google quyết định thưởng cho Lee vì tìm ra lỗ hổng này nhưng chưa quyết định số tiền thưởng.
Bản cập nhật Chrome mới nhất cũng vá nhiều lỗ hổng được đội ngũ an ninh của Google tìm ra.
Khi phát hành Chrome 49 vào đầu tháng 3, Google công bố vá tổng cộng 26 vấn đề an ninh ảnh hưởng đến các phiên bản trước đó. Sau đó một tuần, một bản cập nhật được phát hành vá thêm ba vấn đề an ninh có mức nghiêm trọng cao.
Tháng trước, một nhà nghiên cứu ẩn danh đã được thưởng hơn 25.000 USD vì đã thông báo cho Google lỗi thoát khỏi sandbox trong Chrome và lỗi vượt qua cơ chế an ninh same-origin. Gần đây, Google công bố sẽ thưởng 100.000 USD cho bất cứ ai khai thác thành công lỗ hổng trên Chromebox hoặc Chromebook ở chế độ khách qua một trang web.
Ngoài ra, chương trình tặng thưởng tìm ra lỗ hổng trên Chrome vừa bổ sung thêm các lỗi vượt qua cơ chế bảo vệ tải về Safe Browsing, giá trị lên đến 1.000 USD.
Theo SecurityWeek
Chrome 49.0.2623.108 giải quyết 05 lỗ hổng, bốn trong số đó được phát hiện bởi các nhà nghiên cứu bên ngoài.
Các nhà nghiên cứu tìm ra hai lỗ hổng có mức nghiêm trọng cao trong Navigation (CVE-2016-1647) và Extensions (CVE-2016-1648) đã được Google thưởng 5.500 USD và 5.000 USD cho từng lỗ hổng tương ứng.
Một lỗ hổng có mức nghiêm trọng cao khác là lỗi đọc out-of-bound trong V8 JavaScript (CVE-2016-1646) mà Wen Xu từ Tencent KeenLab đã được thưởng 7.500 USD.
Tại cuộc thi Pwn2Own 2016 gần đây, JungHoon Lee (lokihardt) đã cố gắng chứng minh một mã khai thác thực thi đối với Chrome, nhưng thất bại. Thay vào đó, nhà nghiên cứu tìm ra lỗi tràn bộ đệm nghiêm trọng trong libANGLE (CVE-2016-1649). Google quyết định thưởng cho Lee vì tìm ra lỗ hổng này nhưng chưa quyết định số tiền thưởng.
Bản cập nhật Chrome mới nhất cũng vá nhiều lỗ hổng được đội ngũ an ninh của Google tìm ra.
Khi phát hành Chrome 49 vào đầu tháng 3, Google công bố vá tổng cộng 26 vấn đề an ninh ảnh hưởng đến các phiên bản trước đó. Sau đó một tuần, một bản cập nhật được phát hành vá thêm ba vấn đề an ninh có mức nghiêm trọng cao.
Tháng trước, một nhà nghiên cứu ẩn danh đã được thưởng hơn 25.000 USD vì đã thông báo cho Google lỗi thoát khỏi sandbox trong Chrome và lỗi vượt qua cơ chế an ninh same-origin. Gần đây, Google công bố sẽ thưởng 100.000 USD cho bất cứ ai khai thác thành công lỗ hổng trên Chromebox hoặc Chromebook ở chế độ khách qua một trang web.
Ngoài ra, chương trình tặng thưởng tìm ra lỗ hổng trên Chrome vừa bổ sung thêm các lỗi vượt qua cơ chế bảo vệ tải về Safe Browsing, giá trị lên đến 1.000 USD.
Theo SecurityWeek
Chỉnh sửa lần cuối bởi người điều hành: