В минувший четверг Google обновила Chrome, пропатчив пять уязвимостей. Четыре из них оценены как критические: чтение за пределами допустимого диапазона в JavaScript-движке V8, использование высвобожденной памяти в кодах Navigation и Extensions, а также переполнение буфера в библиотеке libANGLE.

Брешь out-of-bounds read и обе use-after-free принесли исследователям награду; переполнение буфера обнаружил в рамках недавнего конкурса Pwn2Own Чонхун Ли (JungHoon Lee), он же lokihardt, однако приз он, судя по блог-записи Google, не получил. На второй день этого соревнования Ли попытался исполнить код через Chrome, однако эта демонстрация оказалась провальной.

В первый день Pwn2Own браузер Google был частично взломан совместными усилиями хакеров из 360Vulcan Team, попытавшихся получить доступ с помощью нескольких уязвимостей. Пока неясно, когда Google закроет брешь out-of-bounds, которую они при этом использовали.

В обновленном Chrome пропатчен также ряд менее серьезных уязвимостей, обнаруженных сотрудниками Google, том числе в V8. Общий список багов, исправленных в сборке 49.0.2623.108 браузера для Windows, Mac и Linux, выглядит следующим образом:

  • [$7500] [594574] CVE-2016-1646, высокая степень опасности: out-of-bounds read в V8. Обнаружена Вэнем Сюй (Wen Xu) из Tencent KeenLab.
  • [$5500] [590284] CVE-2016-1647, высокая степень опасности: use-after-free в Navigation. Обнаружена анонимом.
  • [$5000] [590455] CVE-2016-1648, высокая степень опасности: use-after-free в Extensions. Обнаружена анонимом.
  • [595836] CVE-2016-1649, высокая степень опасности: переполнение буфера в libANGLE. Обнаружена lokihardt, сотрудничающим с Zero Day Initiative.
  • [597518] CVE-2016-1650: ряд ошибок, выявленных в ходе внутренних аудитов, фаззинга и других мероприятий.
  • Множественные уязвимости в V8, пропатченные в релизе 4.9.385.33.

Две недели назад Google объявила о расширении программы выплат вознаграждений Security Reward Program за счет включения способов обхода браузерной защиты загрузок — Safe Browsing. Разработчик также сообщил, что высшую награду, $50 тыс., никто пока не получил, посему эта сумма будет удвоена.

Категории: Уязвимости