Исследователь Мариуш Млыньский (Mariusz Mlynski) второй раз за полгода удостоен наград, сумма которых превышает $30 тыс., в соответствии с программой Chrome Rewards компании Google.

В среду вышел Chrome 56.0.02924.76 для Windows, Mac и Linux, и Млыньскому была вынесена благодарность за обнаружение четырех уязвимостей высокой степени опасности, закрытых в новом выпуске. Все они относятся к классу XSS и присутствовали в движке Blink, созданном в рамках проекта Chromium и используемом браузером Google для рендеринга. Эти уязвимости совокупно принесли баг-хантеру более $32 тыс.

В мае Млыньский был премирован $45 тыс. за обнаружение ряда опасных уязвимостей в Chrome. На счету исследователя уже много находок, связанных с безопасностью браузеров. Млыньский также является неизменным участником ежегодных состязаний Pwn2Own.

Новый релиз Chrome содержит патчи для 51 уязвимости; семь из них Google оценила как высоко опасные и решила вознаградить исследователей. Совокупно в Chrome закрыто 14 брешей высокой степени опасности (остальные найдены в ходе внутренних аудитов).

Кроме Млыньского наград удостоены баг-хантеры, обнаружившие возможность неавторизованного доступа к файлам в Devtools, доступ к памяти за пределами выделенного буфера в WebRTC и переполнение буфера в куче в V8. За эти уязвимости высокой опасности Google совокупно выплатила $11,5 тыс. В анонсе также поименованы сторонние исследователи, обнаружившие восемь менее опасных багов и шесть уязвимостей низкой степени опасности.

Ожидалось также, что с новым выпуском Chrome начнется исполнение плана Google по депрекации SHA-1. Google еще в ноябре пообещала, что снимет с поддержки устаревший и слабый алгоритм в Chrome 56 в январе. Microsoft и Mozilla назначили примерно такие же сроки для своих браузеров. Эксперты давно призывают владельцев сайтов и разработчиков приложений перейти на SHA-2 или другие, более криптостойкие алгоритмы, однако усилия на этом фронте пользуются переменным успехом.

С новым выпуском Chrome разработчик также продолжает реализовывать свою программу внедрения поддержки HTML5 с поэтапным ограничением Adobe Flash. Начав развертывать дефолтный HTML5 в Chrome 55, Google, как ожидается, теперь введет такую же поддержку для половины пользователей бета-версии Chrome 56.

Категории: Главное, Уязвимости