Google оголосила про оновлення Chrome 115, яке виправляє 17 помилок, включно з 11 недоліками, про які повідомили зовнішні дослідники. Про це пише SecurityWeek.
Оновлення браузера вирішує три серйозні вразливості типу плутанини у механізмі V8 JavaScript і WebAssembly. Згідно з повідомленням Google, дослідникам було виплачено понад $60 тисяч винагороди за виявлення помилок.
$43 тисячі отримав дослідник безпеки на ім’я «Джеррі», який повідомив про дві з цих уразливостей V8, зареєстрованих як CVE-2023-4068 і CVE-2023-4070.
Нагорода у розмірі $21 тисячі була вручена Ман Юе Мо із GitHub Security Lab за повідомлення про помилку, зареєстровану як CVE-2023-4069.
Останнє оновлення Chrome виправляє ще шість помилок високого рівня.
Згідно з виплаченими винагородами за виявлені помилки, найбільш серйозною з них була CVE-2023-4071 – уразливість переповнення буфера у Visuals.
Далі йде проблема читання та запису поза межами у WebGL (CVE-2023-4072), а також помилка доступу до пам’яті поза межами у рівнях абстракції ANGLE (CVE-2023-4073).
Ще три вразливості високого рівня, про які повідомили зовнішні дослідники, – це вразливості використання після звільнення у Blink Task Scheduling, Cast і WebRTC.
Останнє оновлення Chrome також вирішує дві помірно серйозні проблеми у розширеннях: недостатня перевірка даних і проблема непридатної реалізації.
У Google повідомили, що загалом компанія виплатила $123 тисячі винагород дослідникам, які повідомили про знайдені вразливості.
Останній випуск Chrome наразі випускається як версія 115.0.5790.170 для Mac і Linux і як версії 115.0.5790.170/.171 для Windows.
У компанії не згадують про те, що будь-яка з цих вразливостей використовується в атаках.
Раніше ми писали, що Google виявила вразливість нульового дня в Zimbra.
