WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Google trả 90.000 USD cho các lỗ hổng được vá trong Chrome 104
Google vừa phát hành Chrome 104, vá 27 lỗ hổng. Một số lỗ hổng đã mang lại cho các nhà nghiên cứu hàng nghìn USD tiền thưởng.
Google đã trả khoảng 90.000 USD cho các lỗi được vá trong phiên bản Chrome mới nhất. Còn hai lỗi, trong đó có một lỗi nghiêm trọng, vẫn chưa xác định được mức tiền thưởng.
Tiền thưởng lỗi cao nhất, 15.000 USD, dành cho một nhà nghiên cứu ẩn danh đã phát hiện ra lỗ hổng use-after-free trong thành phần Omnibox.
Các lỗ hổng use-after-free thường được tìm thấy trong Chrome, có thể bị khai thác để thoát khỏi hộp cát của trình duyệt. Nhưng trong nhiều trường hợp, chúng chỉ hữu ích cho kẻ tấn công khi kết hợp với các lỗ hổng khác.
Nhà nghiên cứu Nan Wang và Guang Gong của 360 Alpha Lab kiếm được 10.000 USD cho một lỗi use-after-free trong thành phần Safe Browsing (duyệt web an toàn) và 7.000 USD cho hai lỗ hổng khác.
Các nhà nghiên cứu khác nhận được từ 1.000 USD đến 7.000 USD cho những phát hiện của họ.
Không có lỗ hổng nào được cho là đã bị khai thác trong các cuộc tấn công. Trong năm nay, Chrome đã có bốn lỗ hổng bị khai thác tích cực, bao gồm CVE-2022-2294. Lỗ hổng CVE-2022-2294 có liên quan đến một công ty phần mềm gián điệp của Israel và được sử dụng trong các cuộc tấn công có chủ đích nhằm vào các thực thể ở Trung Đông.
Google đã trả khoảng 90.000 USD cho các lỗi được vá trong phiên bản Chrome mới nhất. Còn hai lỗi, trong đó có một lỗi nghiêm trọng, vẫn chưa xác định được mức tiền thưởng.
Tiền thưởng lỗi cao nhất, 15.000 USD, dành cho một nhà nghiên cứu ẩn danh đã phát hiện ra lỗ hổng use-after-free trong thành phần Omnibox.
Các lỗ hổng use-after-free thường được tìm thấy trong Chrome, có thể bị khai thác để thoát khỏi hộp cát của trình duyệt. Nhưng trong nhiều trường hợp, chúng chỉ hữu ích cho kẻ tấn công khi kết hợp với các lỗ hổng khác.
Nhà nghiên cứu Nan Wang và Guang Gong của 360 Alpha Lab kiếm được 10.000 USD cho một lỗi use-after-free trong thành phần Safe Browsing (duyệt web an toàn) và 7.000 USD cho hai lỗ hổng khác.
Các nhà nghiên cứu khác nhận được từ 1.000 USD đến 7.000 USD cho những phát hiện của họ.
Không có lỗ hổng nào được cho là đã bị khai thác trong các cuộc tấn công. Trong năm nay, Chrome đã có bốn lỗ hổng bị khai thác tích cực, bao gồm CVE-2022-2294. Lỗ hổng CVE-2022-2294 có liên quan đến một công ty phần mềm gián điệp của Israel và được sử dụng trong các cuộc tấn công có chủ đích nhằm vào các thực thể ở Trung Đông.
Theo Security Weeks