WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Google vá 42 lỗi trong trình duyệt Chrome 39
Google vừa cho ra mắt trình duyệt Chrome 39.0.2171.65 khắc phục 42 lỗi an ninh, và lần đầu tiên cung cấp bản hỗ trợ 64-bit cho người dùng Apple Mac OS X. Trong 42 lỗi này, Googe đã trao thưởng cho 12 lỗ hổng với tổng giá trị lên tới 41.500 USD. Từ năm 2010, Google bắt đầu trao thưởng cho những ai phát hiện ra lỗi trên Chrome. Tới nay đã có hơn 1,25 triệu USD được trao cho những người phát hiện ra lỗ hổng.
Giải thưởng lớn nhất trị giá 7.500 USD được trao cho người phát hiện ra lỗ hổng CVE-2014-0574. Lỗ hổng này là lỗi trên Adobe's Flash player, được tích hợp trực tiếp trong Chrome. Adobe đã từng cảnh báo đây là lỗ hổng "double-free" này có thể dẫn đến việc thực thi mã code.
Giải thưởng lớn thứ 2 trị giá 5.000 USD dành cho Chen Zhang, nhà nghiên cứu đến từ nhóm NSFocus Security, người tìm ra lỗ hổng CVE-2014-7907, lỗi bộ nhớ trong engine Blink của Chrome.
Zhang phát hiện lỗ hổng CVE-2014-7906, lỗi bộ nhớ trong giao diện plug-in Pepper trên Chrome. Pepper là công nghệ được Google ra mắt từ năm 2009, được phát triển từ giao diện lập trình ứng dụng Plugin Netscape cho plug-in.
Chrome 39 là phiên bản trình duyệt mới ổn định đầu tiên hỗ trợ ngắt kết nối SSL 3.0. Giao thức SSL 3.0 có nguy cơ bị khai thác cao thông qua lỗ hổng POODLE được phát hiện ngày 14/10. Trong khi SSL 3.0 là giao thức cũ đã được thay thế bằng giao thức mới hơn là TLS 1.2. Trước đây, Chrome có cơ chế dự phòng trong trường hợp không thể thực hiện kết nối Transport Layer Security (TLS), trình duyệt sẽ được kết nối trở lại với SSL 3.0
Trước đây Google đã công bố Chrome 39 là bản Chrome đầu tiên vô hiệu hóa cơ chế này. Cho dù cơ chế này đã được loại bỏ, nhưng SSL 3.0 vẫn có trong Chrome 39. Trong phiên bản Chrome 40 tiếp theo, Google sẽ hoàn toàn loại bỏ việc hỗ trợ SSL 3.0 trên trình duyệt.
Nguồn: eWeek
Giải thưởng lớn nhất trị giá 7.500 USD được trao cho người phát hiện ra lỗ hổng CVE-2014-0574. Lỗ hổng này là lỗi trên Adobe's Flash player, được tích hợp trực tiếp trong Chrome. Adobe đã từng cảnh báo đây là lỗ hổng "double-free" này có thể dẫn đến việc thực thi mã code.
Giải thưởng lớn thứ 2 trị giá 5.000 USD dành cho Chen Zhang, nhà nghiên cứu đến từ nhóm NSFocus Security, người tìm ra lỗ hổng CVE-2014-7907, lỗi bộ nhớ trong engine Blink của Chrome.
Zhang phát hiện lỗ hổng CVE-2014-7906, lỗi bộ nhớ trong giao diện plug-in Pepper trên Chrome. Pepper là công nghệ được Google ra mắt từ năm 2009, được phát triển từ giao diện lập trình ứng dụng Plugin Netscape cho plug-in.
Chrome 39 là phiên bản trình duyệt mới ổn định đầu tiên hỗ trợ ngắt kết nối SSL 3.0. Giao thức SSL 3.0 có nguy cơ bị khai thác cao thông qua lỗ hổng POODLE được phát hiện ngày 14/10. Trong khi SSL 3.0 là giao thức cũ đã được thay thế bằng giao thức mới hơn là TLS 1.2. Trước đây, Chrome có cơ chế dự phòng trong trường hợp không thể thực hiện kết nối Transport Layer Security (TLS), trình duyệt sẽ được kết nối trở lại với SSL 3.0
Trước đây Google đã công bố Chrome 39 là bản Chrome đầu tiên vô hiệu hóa cơ chế này. Cho dù cơ chế này đã được loại bỏ, nhưng SSL 3.0 vẫn có trong Chrome 39. Trong phiên bản Chrome 40 tiếp theo, Google sẽ hoàn toàn loại bỏ việc hỗ trợ SSL 3.0 trên trình duyệt.
Nguồn: eWeek
